セキュリティ

Acer・ASUS・DELL・HP・レノボに最初からインストールされているソフトに危険な脆弱性が発覚、削除呼びかけをレノボは開始


一般に販売されているPCにプリインストールされているソフトウェアの多くに、セキュリティ上の問題を起こす可能性がある脆弱性が存在していることが明らかになりました。この事態を受け、レノボはソフトウェアの削除をユーザーに呼びかける事態になっています。

Out-of-Box Exploitation: A Security Analysis of OEM Updaters: Blog: Duo Security
https://duo.com/blog/out-of-box-exploitation-a-security-analysis-of-oem-updaters

Out-of-the-box exploitation possible on PCs from top 5 OEMs | Ars Technica
http://arstechnica.com/security/2016/06/how-pc-makers-make-you-vulnerable-to-man-in-the-middle-attacks-out-of-the-box/

この問題は、セキュリティを向上させる2要素認証のサービスを提供している企業「Duo Security」の調べによって明らかにされたものです。同社ではDell、HP、Lenovo、Acer、Asusといったごく一般的なPCメーカーの製品にプリインストールされ、ソフトウェアの更新を監視する「アップデーター」に関する脆弱性をまとめた報告書を公開しています。

(PDF)Out-of-Box Exploitation Out-of-Box Exploitation — A Security Analysis of OEM Updaters - out-of-box-exploitation_oem-updaters.pdf


買ってきたばかりのPCにプリインストールされているメーカー製のソフトウェアは「クラップウェア(ゴミソフト)」や「ブロートウェア(容量ばかり食うソフト)」などと呼ばれることもあり、ユーザーによっては忌み嫌う対象とすらなっているわけですが、今回はその多くに脆弱性が含まれていることも明らかになっています。Duo Securityは、自分のPCが乗っ取られて第三者への攻撃の足場にされる中間者攻撃(Man in the Middle:MITM)を引き起こすリスクについて、各メーカーのアップデーターの調査を実施。すると、いずれのメーカーの製品にも大小の問題が存在していることが判明したとのこと。

脆弱性が確認されたアップデーターは、動作の様子からソフトウェアの設計を類推するリバースエンジニアリングを容易に行うことができるほか、セキュリティを要求される通信を行うためのプロトコル「トランスポート・レイヤー・セキュリティ(TLS)」をサポートしていないなどの問題が見つかっており、結果的にマルウェアを不正にインストールされてしまう脆弱性につながっています。

各メーカーごとに状況をまとめが表がこちら。問題のある箇所が「×」で示されているのですが、AcerとASUS、そしてレノボの「UpdateAgent 1.0.0.4」は4つの項目全てで問題が確認されている模様。一方、おなじレノボの「Solution Center 3.0.001」は全ての項目をクリアしています。なお、調査が行われたのはWindows 8.1あるいはWindows 10を搭載したモデルだったとのこと。


これらの脆弱性が悪用されると、例えば同じWi-Fiネットワーク上にある機器から乗っ取りを受け、管理者権限レベルでソフトウェアのインストールを行われてしまう危険が生じるとのこと。

レノボは2016年5月31日、同社が提供している「Lenovo Accelerator Application」のアップデートにおける脆弱性が判明したとのことで、当該のソフトウェアをアンインストールすることを推奨するに至っています。対象となる機種はWindows 10を初期インストールし、Lenovo Accelerator Applicationがインストールされている一部のノートPCとデスクトップPCとのことで、Lenovo Accelerator Applicationは、ThinkPadおよび ThinkStationデバイスにはインストールされていないとのこと。対象機種の詳細やアンインストール方法は、以下のページで詳しく記載されているので、所有している場合は今後の安全のためにもすぐに確認しておくべきです。

Lenovo Accelerator Application のアップデートにおける脆弱性 - Lenovo Support (JP) | #1 PC Maker
https://support.lenovo.com/jp/ja/product_security/len_6718

この記事のタイトルとURLをコピーする

・関連記事
Lenovo製PCのプリインストールソフトにサイバー攻撃の火種になる危険性 - GIGAZINE

デルのサポート用ソフト「Dell System Detect」に脆弱性発覚、99%の利用者が未対策版を使用 - GIGAZINE

「偽Windows Update発動→アップデート失敗→偽公式サポートへ電話」のフルコンボで金銭を要求する巧妙な新型ランサムウェアに注意 - GIGAZINE

Windows Updateをサムスン製PCがユーザーに無断で無効化していたことが判明 - GIGAZINE

いつまでもiOSをアップデートしないままでいると、YouTubeアプリから動画再生ができなくなる模様 - GIGAZINE

PCを乗っ取られる凶悪な脆弱性が「Flash Player」にあると判明、Adobeが緊急パッチを配布中 - GIGAZINE

トレンドマイクロのパスワード管理ツールにパスワードを盗まれ遠隔操作される脆弱性 - GIGAZINE

・関連コンテンツ

in ソフトウェア,   セキュリティ, Posted by darkhorse_log

You can read the machine translated English article here.