Der Bug erlaubt eine nicht autorisierte Ausweitung von Nutzerrechten. Er ist für Cyberkriminelle interessant, weil die anfällige Software Touchpoint Analytics auf Millionen von HP-Rechnern vorinstalliert ist. Die App selbst sammelt Diagnosedaten und wird für den Betrieb eines Systems nicht benötigt.
Nutzer von HP-Systemen sollten nach einem Update für die vorinstallierte Software Touchpoint Analytics Ausschau halten. Diese Anwendung, die für den Betrieb des PCs nicht benötigt und deswegen auch als Bloatware bezeichnet wird, hat eine schwerwiegende Sicherheitslücke. Eine Malware, die die Anfälligkeit ausnutzt, könnte sich Administratorrechte verschaffen und die vollständige Kontrolle über ein betroffenes System übernehmen.
Entdeckt wurde der Fehler bereits im Sommer von Forschern des Sicherheitsanbieters SafeBreach Labs. Ein Patch von HP steht seit einigen Tagen zum Download bereit. Nutzer von HP-Laptops und -Desktops sollten die Sicherheitswarnung des Unternehmens beachten und den Touchpoint Analytics Client zeitnah aktualisieren.
Touchpoint Analytics sammelt Diagnosedaten über die Leistung der HP-Hardware und verschickt diese Informationen an HP. Zu diesem Zweck verfügt die App über Administratorrechte.
Laut Peleg Hadar, Sicherheitsforscher bei SafeBreach Labs, ist es möglich, die App dazu zu bringen, eine speziell gestaltete DLL-Datei zu laden und Schadcode mit den höheren Rechten auszuführen. Die Schwachstelle erlaubt also eine nicht autorisierte Ausweitung von Nutzerrechten. Um sie aus der Ferne ausnutzen zu können, muss sie mit einer weiteren Anfälligkeit verknüpft werden – wie Angreifer sie beispielsweise regelmäßig in Browsern finden.
Die Sicherheitslücke ist vor allem auch deswegen als sehr schwerwiegend zu betrachten, weil die fragliche Software wahrscheinlich auf mehreren Hundert Millionen Desktops und Laptops von HP vorinstalliert ist. Das macht die Schwachstelle besonders attraktiv für Cyberkriminelle.
Bei HP-Nutzern ist die App Touchpoint Analytics auch schon ohne Sicherheitsprobleme umstritten. Einige sehen darin nicht anderes als eine Spyware, die sich als Analytics-Tool tarnt. HP weist die Vorwürfe zurück und stellt es Nutzern frei, die App jederzeit zu deinstallieren.
Das vorinstallierte Software von Geräteherstellern ein Sicherheitsrisiko darstellt, ist nicht ungewöhnlich. Hadar selbst meldete beispielsweise im Juni einen ähnlichen Bug in Dells Support-Assist-Software.