Dell-pc'er med SupportAssist-værktøj, der er sårbare over for 'High Severity' -tilpasningsattacker, sikkerhedsopdatering frigivet til Windows 10

Dell-pc'er, der kører Windows-operativsystem, er angiveligt sårbare over for "høj sværhedsgrad" sikkerhedssårbarhed. Tilsyneladende kunne Dells SupportAssist, et værktøj, der er beregnet til at hjælpe med at diagnosticere og løse problemer, give angribere mulighed for at få fuld kontrol over pc'erne ved at udføre usigneret og ikke-godkendt kode. Da Dell var opmærksom på sikkerhedstruslen, har det frigivet to sikkerhedspatcher til SupportAssist på så mange måneder. Imidlertid forbliver ikke-patchede systemer fortsat sårbare over for privilegier eskaleringsangreb.

Dell har netop frigivet en anden patch til SupportAssist-software. Softwaren er i det væsentlige et sæt værktøjer, der hjælper med at diagnosticere almindelige problemer og problemer i operativsystemet. Applikationen tilbyder også en række metoder til at løse disse problemer. I øvrigt, uofficielt kaldet bloatware, er Dells SupportAssist forudinstalleret på de fleste pc'er, som Dell leverer. Desværre kan nogle få fejl i softwaren muligvis give hackere mulighed for at kompromittere en sårbar eller ikke-patchet computer.

For at imødegå sikkerhedsproblemerne har Dell frigivet opdateringer til SupportAssist for Business og SupportAssist for Home. Tilsyneladende ligger sårbarheder i en komponent kaldet PC Doctor. Softwaren er et populært produkt fra en amerikansk softwareleverandør. Sælgeren er den foretrukne udvikler af mange pc-producenter. PC Doctor er i det væsentlige diagnostiksoftware til hardware. OEM'er distribuerer regelmæssigt softwaren på de computere, de sælger for at overvåge et systems helbred. Det er ikke klart, om PC Doctor kun ser efter almindelige problemer og tilbyder løsninger eller hjælper OEM'er med at diagnosticere problemer eksternt.

SupportAssist leveres med de fleste Dell-bærbare computere og computere, der kører Windows 10. Tilbage i april i år frigav Dell en patch til en alvorlig sikkerhedsfejl, efter at en uafhængig sikkerhedsforsker fandt, at supportværktøjet kunne bruges af fjernangribere til at overtage millioner af sårbare systemer. Fejlen eksisterede i selve Dells SupportAssist-kode. Imidlertid var sikkerhedssårbarheden til stede i et softwarebibliotek fra tredjepart leveret af PC Doctor.

Sikkerhedsundersøgelser opdagede fejlen i en fil kaldet “Common.dll”. Det er ikke umiddelbart klart, om både SupportAssist og PC Doctor er nødvendige for at udføre privilegiet eskaleringsangreb, eller blot PC Doctor er nok. Eksperter advarer dog om, at andre OEM'er udover Dell, der stoler på softwaren, skal køre en sikkerhedskontrol for at sikre, at deres løsninger ikke er sårbare over for hacket.

Dell har allerede udstedt en sikkerhedsrådgivning efter frigivelse af programrettelsen. Dell opfordrer kraftigt brugere af deres brandede pc'er til at opdatere Dell SupportAssist. Dell SupportAssist for Business-pc'er sidder i øjeblikket i version 2.0, og Dell SupportAssist til hjemme-pc'er findes på version 3.2.1. Plasteret ændrer versionsnummeret, når det er installeret.

På trods af de forskellige versionsnumre har Dell mærket sikkerhedssårbarheden med en enkelt kode, "CVE-2019-12280". Efter opdateringen er installeret, får Dell SupportAssist for Business-pc'er version 2.0.1, og hjemme-pc'er går op til 3.2.2. Alle de tidligere versioner er fortsat sårbare over for den potentielle trussel.

Hvordan fungerer Privilege Escalation Attack på Dell-pc'er med SupportAssist?

Som nævnt ovenfor leveres SupportAssist med de fleste Dell-bærbare computere og computere, der kører Windows 10. På Windows 10-Dell-maskiner søger en højt privilegeret tjeneste kaldet 'Dell Hardware Support' adskillige softwarebiblioteker. Det er dette sikkerhedsprivilegium og det høje antal anmodninger og standardgodkendelser af softwarebiblioteker, der kan bruges af en lokal angriber til at opnå eskalerede privilegier. Det er vigtigt at bemærke, at mens den tidligere sikkerhedssårbarhed kunne udnyttes af fjernangribere, kræver den senest opdagede fejl, at angriberen er på det samme netværk.

En lokal angriber eller en almindelig bruger kan erstatte et softwarebibliotek med et eget for at opnå kodeudførelse på operativsystemniveau. Dette kan opnås ved hjælp af et hjælpebibliotek, der bruges af PC Doctor kaldet Common.dll. Problemet ligger i den måde, denne DLL-fil behandles på. Programmet validerer tilsyneladende ikke, om den DLL, som den vil indlæse, er underskrevet. At tillade en udskiftet og kompromitteret DLL-fil at køre ukontrolleret er en af ​​de mest alvorlige sikkerhedsrisici.

Overraskende nok kan andre systemer, der er afhængige af PC Doctor som deres base for lignende diagnostiske tjenester, også være sårbare. Nogle af de mest populære produkter inkluderer Corsair Diagnostics, Staples EasyTech-diagnostik, Tobii I-Series-diagnosticeringsværktøj osv.

Facebook Twitter Google Plus Pinterest