Computers van fabrikant HP zijn door beveiligingslekken in de Support Assistant, die standaard op systemen wordt meegeleverd, kwetsbaar voor aanvallen. HP heeft een beveiligingsupdate uitgebracht die een aantal van de kwetsbaarheden verhelpt, maar niet allemaal.
De HP Support Assistant staat standaard geïnstalleerd op desktops en laptops van de fabrikant. Via de software kunnen gebruikers problemen met hun computer verhelpen en allerlei updates downloaden. Beveiligingsonderzoeker Bill Demirkapi ontdekte tien kwetsbaarheden in het programma waardoor een aanvaller in het ergste geval computers op afstand zou kunnen overnemen. De onderzoeker vond eerder ook al verschillende beveiligingslekken in Dell Support Assist, het supportprogramma van Dell.
In het geval van de HP Support Assistant ging het om vijf kwetsbaarheden waardoor een aanvaller die al toegang tot een systeem had zijn rechten zou kunnen verhogen. Twee andere beveiligingslekken maakten het mogelijk om bestanden te verwijderen zodat Windows zou stoppen met werken. Als laatste waren er drie remote code execution kwetsbaarheden waardoor een aanvaller kwaadaardige code op de computer zou kunnen uitvoeren. Hierbij zou de gebruiker nog wel eerst met zijn muis op een melding moeten klikken.
Op 5 oktober vorig jaar waarschuwde Demirkapi HP over de problemen. Twee maanden later op 19 december kwam HP met een update en stelde dat de kwetsbaarheden waren verholpen. De onderzoeker liet HP op 1 januari van dit jaar weten dat niet alle beveiligingslekken zijn opgelost en gebruikers nog steeds risico lopen. HP bevestigde dit en was van plan om begin maart een nieuwe update uit te rollen, maar die verscheen wegens de coronauitbraak op 21 maart. Nu heeft de onderzoeker de details van de kwetsbaarheden openbaar gemaakt.
Volgens Demirkapi doen gebruikers er verstandig aan om de software van hun computer te verwijderen, om zo tegen de huidige en mogelijk nieuwe kwetsbaarheden beschermd te zijn. Wanneer dat niet mogelijk is wordt aangeraden de nieuwste versie te installeren en automatisch updaten in te schakelen. "Standaard biedt de HP Support Assistant geen automatische updates, tenzij je expliciet voor de opt-in kiest. HP beweert dat het anders is", merkt de onderzoeker op.
Deze posting is gelocked. Reageren is niet meer mogelijk.