Hacker ontdekt lek in supportsoftware op HP-notebooks

Onderzoekers hebben een beveiligingslek ontdekt in de supportsoftware die standaard met nieuwe HP-notebooks wordt meegeleverd. Meer dan twintig verschillende modellen zouden hierdoor vatbaar zijn voor een aanval.

Het 0day-lek zit in een ActiveX-control die wordt meegevelerd met de HP Info Center-software. Deze tool wordt standaard geïnstalleerd op nieuwe HP- en Compaq-laptops met Windows 2000, XP, Server 2003 en Vista.

De ontdekking van de fout is door iemand met het alias 'porkythepig' gepubliceerd op zowel de Bugtraq-mailinglijst als op Milw0rm.com. 'Een van de ActiveX-controls heeft drie onveilige methodes die kwaadaardigen in staat stellen van een afstand eigen code op het systeem uit te voeren en het register aan te passen', aldus de ontdekker, die meteen ook de exploitcode heeft gepubliceerd.

Gebruikers kunnen het bewuste ActiveX-control handmatig uitschakelen via het register, meldt Techworld.com. Een andere mogelijkheid is om Active Scripting in Internet Explorer uit te schakelen. Dit omdat de meest logische manier om het lek te misbruiken, een speciaal geprepareerde webpagina is.

Het getroffen ActiveX-control is naar verluidt de afgelopen jaren op zowat elk model notebook van HP en Compaq meegeleverd. In potentie zouden hierdoor duizenden notebooks vatbaar zijn voor een mogelijke aanval. De hacker die het lek ontdekte, heeft het vatbare bestand op 23 verschillende notebookmodellen aangetroffen, waaronder de Compaq 2710, 2510, 6120, 6220, 6230, 6325, 6510, 6715, 6910, 7300, 8220, 8230, 8440, 8510, 8710 en 9440. Ook de NC-, NW- en NX-series zouden vatbaar zijn.

Eerder al had Dell problemen met zijn supportsoftware. Na een update kon er een conflict ontstaan in de Dell Support Center-software, wat ervoor zorgde dat de machine vastliep. Voor dit probleem heeft Dell inmiddels een fix ontwikkeld.

Door Wilbert de Vries

Feedback • 13-12-2007 13:51 28

13-12-2007 • 13:51

28

Lees meer

Gecrashte pc voortaan op afstand te beheren
Gecrashte pc voortaan op afstand te beheren Nieuws van 14 februari 2008
Amsterdam: Linux beter te onderhouden dan Windows
Amsterdam: Linux beter te onderhouden dan Windows Nieuws van 10 december 2007
Microsoft en Mozilla kibbelen over browserveiligheid
Microsoft en Mozilla kibbelen over browserveiligheid Nieuws van 3 december 2007
Dell verliest marktaandeel aan HP en Acer
Dell verliest marktaandeel aan HP en Acer Nieuws van 3 december 2007
Quicktime-hack maakt Second Life-geld kwetsbaar
Quicktime-hack maakt Second Life-geld kwetsbaar Nieuws van 2 december 2007
Meer producten en artikelen
Netwerk en systeembeheer Laptops Software HP

Reacties (28)

-Moderatie-faq
28
26
8
3
0
0
Wijzig sortering
Verwijderd 13 december 2007 15:09
Je kan hier testen of je vatbaar bent voor de bug.
sirono @Verwijderd13 december 2007 15:22
is dit veilig?
Verwijderd @sirono13 december 2007 15:32
Het lek was door de maker van deze test website gevonden (porkythepig). Of dit 100% veilig is kan ik natuulijk niet beamen, maar gezien grote sites deze link ook posten, lijkt hij vooralsnog veilig te zijn. Klikken doe je geheel op eigen risico ;)

The advisory text link:
www.anspi.pl/~porkythepig/hp-issue/kilokieubasy.txt

Issue discovery and research: porkythepig
Contact: porkythepig@anspi.pl

[Reactie gewijzigd door Verwijderd op 23 juli 2024 22:01]

? ? @Verwijderd13 december 2007 16:25
Niet slim dus http://en.wikipedia.org/wiki/Argumentum_ad_populum ...
Nikeo 13 december 2007 13:56
Een hacker in de titel, een onderzoeker in de inleiding ^^
siepeltjuh @Nikeo13 december 2007 14:04
Een hacker is toch ook een onderzoeker?

on·der·zoe·ker (de ~ (m.))
1 iem. die iets wetenschappelijk onderzoekt => navorser, vorser

Misschien niet helemaal dan, zie hier neit zoveel wetenschappelijks aan, maar goed. Gebruikt HP een eigen automatische update tool of niet?

Als het namelijk niet centraal geupdate wordt zie ik het probleem groter worden, zelden of nooit dat iemand de website van de fabrikant afstruind naar updates. Dat moet net als Windows updates centraal gebeuren.
ingdas @siepeltjuh13 december 2007 14:09
De HP-software geeft standaard aan dat er updates zijn, maar gaat ze niet automatisch downloaden of installeren
GENETX
@Nikeo13 december 2007 14:05
Zo staat er nog wat vaags:

HP-laptops in de titel terwijl er een hele lijst Compaqs wordt genoemd, maa rgeen enkele HP laptop. En ja ik weet dat Compaq van HP is, maar ik verwacht eerder een reeks HP laptops die ook HP als naam dragen.
Z80 @GENETX13 december 2007 14:25
kijk eens even in bij:
http://www.milw0rm.com/exploits/4720
staat een hele lijst met hp laptops.
en bij de NC serie staat ook heel groot HP op de monitor.
Gepetto @Z8014 december 2007 10:07
Voor zover ik weet zijn HP en Compaq tegenwoordig hetzelfde bedrijf.

"HP is opgericht in 1939 en in 2002 gefuseerd met de in 1982 opgerichte Compaq Computer Corporation."
schroei @GENETX13 december 2007 14:30
Het is vaag dat daar alleen compaq staat. Er hoort nog HP voor. De genoemde laptop series zijn namelijk ook gewoon met het HP label uitgegeven. Ik zit nu bijvoorbeeld achter een HP NC6220

[Reactie gewijzigd door schroei op 23 juli 2024 22:01]

GENETX
@schroei13 december 2007 14:42
Tikfout van T.net dan dus.
Koffie @GENETX14 december 2007 13:29
HP Noemt hun nieuwe laptops nog steeds Compaq hoor ;)
Pietervs 13 december 2007 14:31
Deze tool wordt standaard geïnstalleerd op nieuwe HP- en Compaq-laptops met Windows 2000, XP, Server 2003 en Vista.
Vraag me toch af hoeveel laptops er uitgeleverd worden met Server 2003. De meeste mensen die dat willen hebben een bedrijf, of werken bij een bedrijf. Die bestellen gewoon een laptop (al dan niet van Compaq of HP) en zetten dat er zelf op, zonder de HP software...
Niemand_Anders @Pietervs13 december 2007 16:56
Waarschijnlijk kun je laptop vervangen door HP product range. HP heeft erg veel eigen utilities voor het beheren van hun machines, zowel voor laptop, desktop als server.

Waarschijnlijk kunnen grote delen van de software hergebruikt worden voor verschillende onderdelen en is dat ook de reden waarom ze er een control van hebben gemaakt.

Onze proxy filtert per definitie al elke url waarvan de extentie .dll of .exe is. Moet echt iemand de betreffende url kunnen benaderen dan kan voor die betreffende url een uitzonderling worden gemaakt.

Met laptops is het probleem iets groter omdat deze vaak grps/umts/wifi verbindingen opzetten buiten het kantoor netwerk en dus de bescherming van het bedrijfs netwerk missen. Dat gegeven zal waarschijnlijk dan ook de reden staan waarom vooral de laptop producten als extra gevoelig worden bestempelt voor deze exploit.
Verwijderd 13 december 2007 14:59
Ik bezit over een Hp compaq 8510p, maar heb deze bij aankomst direct geformatteerd en weer geïnstalleerd zonder de overbodige programmas van HP. Kan iemand mij vertellen in welk deel van de support software de bug zit?
Verwijderd @Verwijderd13 december 2007 15:25
Geen idee in welke software het precies zit, maar het gaat hier om de HPInfoDLL.dll. Controleer even via de Add-On Manager in je IE browser welke ActiveX controls zijn geinstalleerd en actief. Als deze er tussen staat zet hem dan uit of verwijder hem.
TERW_DAN 13 december 2007 14:09
Die ActiveX control was altijd wel handig, hardwaretests waren op die manier online uit te voeren, heb het ooit eensg edaan bij een notebook op mijn werk. Hoe handig het toen was, hoe meer ik het ook wel gevaarlijk vond dat ik vanaf een ActiveX control hardware kon aanspreken. Dit lek verbaast me dan ook niet zo heel veel eerlijk gezegd, gezien de toegang die de control moet hebben op de pc Het ding is in staat de hardware te controleren op fouten, dus hdds scannen e.d. en daarbij ook de drivers te updaten. Genoeg plekken dus waarom het fout kan gaan.
Bas_f 13 december 2007 14:43
Toen ik nog Windows op mijn HP Pavilion dv9000 draaide had ik die lekke software vermoedelijk ook.

Ik draaide Vista met UAC gewoon aan. Zou deze niet aan de bel getrokken hebben zodra dit lek in deze software misbruikt zou worden?
The Zep Man
@Bas_f13 december 2007 20:02
Ik draaide Vista met UAC gewoon aan. Zou deze niet aan de bel getrokken hebben zodra dit lek in deze software misbruikt zou worden?
Als deze software geïnstalleerd is en 'vertrouwd' wordt door het systeem: ja, Vista zou niet aan de bel trekken.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 22:01]

JoJo_nl 14 december 2007 01:35
dit lek is al dik n jaar bekend...
microsoft heeft er een oplossing voor bedacht om activex objects eerst aan te moeten
klikken voordat ze actief zijn... evenwel hebben ze later weer een patch uitgebracht om
dit te omzeilen.. (blijve rare knakkers die amerikanen..)
Verwijderd @JoJo_nl14 december 2007 08:20
uhm nee hoor, dit is echt '0day' dat eerst aankklikken is omdat er in axticex objecten vaak exploits zitten, en daar is dit er 1 van
JoJo_nl 14 december 2007 01:39
http://www.itjungle.com/two/two121306-story01.html
TheRebell 13 december 2007 15:15
Als het alleen via een inet pagina werkt, dan zit je met FF standaard wel goed alleen als je IE gebruikt niet (toch)? Of zie ik het nu te rooskleurig?

Mijn NC8430 is OK zegt die site

[Reactie gewijzigd door TheRebell op 23 juli 2024 22:01]

Verwijderd @TheRebell13 december 2007 16:52
Firefox kan niet vanuit de standaard installatie ActiveX componenten laden, er zal vast wel een plug-in zijn waarmee die dat wel kan. Volgens mij was de exploit zelf ook al eerder bekent aangezien hij op mijn laptop al uitgezet was in IE...
i-chat @TheRebell13 december 2007 16:00
't gaat er omdat dat je iets moet hebbe dat zo'n ocx moet kunne aanroepen ... dus ook vanuit je mail aplicatie oid zou 't vast moete lukken... maar zelfs met firefox en ie-tab zal 't wel lukken (als je pech hebt)...

tis iig niet alleen maar IE die acive x aan kan spreken ... maar eigenlijk alle progjes die het betreffende component *kunne* laden..

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq