DELL
Съобщава се, че компютрите на Dell, работещи под операционна система Windows, са уязвими към уязвимостта на сигурността „с висока степен на сериозност“. Очевидно Dell’s SupportAssist, помощна програма, която е предназначена да помогне за диагностика и решаване на проблеми, може да позволи на нападателите да получат пълен контрол над компютрите, като изпълни неподписан и неодобрен код. Като е наясно със заплахата за сигурността, Dell пусна две лепенки за сигурност за SupportAssist за толкова месеци. Незащитените системи обаче продължават да остават уязвими за атаки за ескалация на привилегии.
Dell току-що пусна втори пластир за софтуера SupportAssist. По същество софтуерът представлява набор от инструменти, който помага при диагностицирането на често срещани проблеми и проблеми в рамките на операционната система. Приложението предлага и редица методи за справяне с тези проблеми. Между другото, неофициално наричан bloatware, Dell’s SupportAssist е предварително инсталиран на повечето компютри, които Dell доставя. За съжаление, няколко грешки в софтуера могат потенциално да позволят на хакерите начин да компрометират уязвим или неизправен компютър.
По отношение на проблемите със сигурността, Dell пусна актуализации за SupportAssist за бизнеса и SupportAssist за дома. Очевидно уязвимостите се крият в компонент, наречен PC Doctor. Софтуерът е популярен продукт от доставчик на софтуер в САЩ. Доставчикът е предпочитаният разработчик от много производители на компютри. PC Doctor е по същество диагностичен софтуер за хардуер. OEM производителите редовно разполагат софтуера на компютрите, които продават, за да следят състоянието на системата. Не е ясно дали PC Doctor просто търси често срещани проблеми и предлага решения или помага на OEM производителите да диагностицират дистанционно проблеми.
Dell тихо закърпи уязвимостта на SupportAssist, която засегна милиони потребители https://t.co/8IvaXbVzOJ от @ jeffstone500 pic.twitter.com/5v074lNXy7
- CyberScoop (@CyberScoopNews) 21 юни 2019 г.
SupportAssist се доставя с повечето лаптопи и компютри на Dell с Windows 10. Още през април тази година Dell пусна кръпка за сериозна грешка в сигурността, след като независим изследовател по сигурността установи, че инструментът за поддръжка може да се използва от отдалечени хакери, за да поеме милиони уязвими системи. Грешката съществува в самия код на Dell’s SupportAssist. Уязвимостта на защитата обаче е налице в софтуерна библиотека на трети страни, предоставена от PC Doctor.
Изследванията на сигурността откриха недостатъка във файл, наречен „Common.dll“. Не е ясно веднага дали SupportAssist и PC Doctor са необходими за изпълнение на атака за ескалация на привилегиите или е достатъчен само PC Doctor. Експертите обаче предупреждават, че други OEM производители освен Dell, които разчитат на софтуера, трябва да проверят проверка на сигурността, за да се уверят, че техните решения не са уязвими за хакването.
Dell вече е издал съвет за сигурност, след като е пуснал корекцията. Dell настоятелно призовава потребителите на своите маркови компютри да актуализират Dell SupportAssist. Понастоящем Dell SupportAssist за бизнес компютри е на версия 2.0, а Dell SupportAssist за домашни компютри е на версия 3.2.1. Пачът променя номера на версията, след като бъде инсталиран.
Въпреки различните номера на версиите, Dell маркира уязвимостта на защитата с един-единствен код, „CVE-2019-12280“. След инсталирането на корекцията, Dell SupportAssist for Business PCs получава версия 2.0.1, а тази на домашните компютри достига до 3.2.2. Всички предишни версии продължават да остават уязвими към потенциалната заплаха.
SupportAssist, който е предварително инсталиран на милиони компютри на Dell, се основава на платформа, наречена PC-Doctor, и с нея може да се злоупотребява, за да се даде достъп на хакерите на системно ниво до хардуер и софтуер. https://t.co/C944bbNWYp
- TechRepublic (@TechRepublic) 21 юни 2019 г.
Как работи Privilege Escalation атаката на компютри Dell с SupportAssist?
Както бе споменато по-горе, SupportAssist се доставя с повечето лаптопи и компютри на Dell, работещи под Windows 10. На Windows 10 Dell машини услуга с висока привилегия, наречена „Dell Hardware Support“, търси няколко софтуерни библиотеки. Именно тази привилегия за сигурност и големият брой заявки и одобрения по подразбиране на софтуерни библиотеки могат да бъдат използвани от локален нападател за получаване на ескалирани привилегии. Важно е да се отбележи, че докато предишната уязвимост на защитата би могла да бъде използвана от отдалечени нападатели, най-скоро откритата грешка изисква нападателят да бъде в същата мрежа.
Локален нападател или обикновен потребител може да замени софтуерна библиотека със собствена, за да постигне изпълнение на код на ниво операционна система. Това може да се постигне с помощта на библиотека от помощни програми, използвана от PC Doctor, наречена Common.dll. Проблемът се крие в начина, по който се третира този DLL файл. Очевидно програмата не проверява дали DLL, която ще зареди, е подписана. Разрешаването на заменен и компрометиран DLL файл да работи непроверено е един от най-тежките рискове за сигурността.
Изненадващо, освен компютри, други системи, които разчитат на PC Doctor като своя база за подобни диагностични услуги, също могат да бъдат уязвими. Някои от най-популярните продукти включват Corsair Diagnostics, диагностика Staples EasyTech, диагностичен инструмент Tobii I-Series и др.
Етикети Dell
