Afbeelding: Dell
×
dell.jpg
Een kwetsbaarheid in de Dell SupportAssist utility stelt Dell-laptops en personal computers aan een externe aanval hackers in staat stellen om code uit te voeren met admin-rechten voor apparaten met een oudere versie van deze tool en de overname van gebruikers’ systemen.
Dell heeft een patch voor dit lek op 23 April; echter, veel gebruikers zijn waarschijnlijk kwetsbaar blijven, tenzij ze al hebt bijgewerkt met de tool –die is gebruikt voor fout opsporing, diagnostiek en Dell drivers auto-updates.
Het aantal betrokken gebruikers is vermoedelijk zeer hoog, net als de SupportAssist tool is een van de apps die zal Dell de pre-installeren op alle Dell-laptops en computers van het bedrijf wordt geleverd met een BESTURINGSSYSTEEM van Windows (systemen verkocht zonder een OS worden niet beïnvloed).
CVE-2019-3719
Volgens Bill Demirkapi, een 17-jarige security-onderzoeker uit de v.s., de Dell SupportAssist app is kwetsbaar voor een “tot uitvoering van externe code” kwetsbaarheid, dat onder bepaalde omstandigheden kunnen de aanvallers een eenvoudige manier te kapen Dell-systemen.
De aanval is gebaseerd op het lokken gebruikers op een kwaadaardige web-pagina, waar de JavaScript-code kan de truc van de Dell SupportAssist gereedschap in het downloaden en uitvoeren van bestanden van een aanvaller gecontroleerde locatie.
Omdat de Dell SupportAssist tool draait als admin, aanvallers volledige toegang tot gerichte systemen, als ze erin slagen om zich in de juiste positie voor het uitvoeren van deze aanval.
Aanval vereist LAN/router compromis
“De aanvaller moet worden op het slachtoffer netwerk om het uitvoeren van een ARP-Spoofing-Aanval en een DNS-Spoofing-Aanval op het slachtoffer van de machine om het te bereiken tot uitvoering van externe code,” Demirkapi vertelde ZDNet vandaag in een e-mail conversatie.
Dit klinkt misschien hard, maar het is niet zo ingewikkeld als het lijkt.
Twee scenario ‘ s waarin de aanslag zou het werk zijn van openbare WiFi-netwerken of grote onderneming netwerken waar er ten minste een gecompromitteerde machine die kan worden gebruikt om de lancering van de ARP en DNS-aanvallen tegen de aangrenzende Dell-systemen waarop de SupportAssist tool.
Een andere plausibele scenario is in situaties waar hackers hebben ingebroken op de gebruikers’ lokale WiFi-router, en zijn in een positie om te veranderen van DNS-verkeer rechtstreeks op de router.
Zoals we hebben gezien in de afgelopen paar maanden, hacking-routers te kapen DNS-verkeer is niet een geavanceerde aanval meer en gebeurt steeds vaker, vooral door de droevige staat van de router beveiliging [1, 2].
Aanval vereist geen interactie van de gebruiker
Bovendien, de aanval vereist geen interactie van de gebruiker met uitzondering van tricking gebruikers op het openen van een kwaadaardige pagina, en de kwaadaardige JavaScript-code dat drijft de aanval kan ook worden verborgen in advertenties (iframes) op legitieme sites, als dat ooit nodig is.
Als Demirkapi uitgelegd ZDNet, de iframe zal verwijzen naar een subdomein van dell.com en vervolgens een DNS-spoofing-aanval uitgevoerd tegen een aanvaller-gestuurde machine/router terug een onjuist IP-adres voor de dell.com domein, waardoor de aanvaller om te bepalen welke bestanden worden verzonden en uitgevoerd door de SupportAssist tool.
Het goede nieuws is dat Dell nam de onderzoeker het rapport serieus en heeft gewerkt voor de afgelopen maanden patch CVE-2019-3719, een taak die concludeerde vorige week met de release van SupportAssist v3.2.0.90, dat Dell gebruikers worden nu geadviseerd om te installeren.
Werk door Dell hier om deze patch vuln. De meeste andere hardware leveranciers zou niet eens de moeite hebben genomen om te antwoorden. Geweldig vinden door Bill als altijd. Kan niet wachten tot hij begint te breken Windows spul 🙂 https://t.co/hp3SA6omRb
— Alex Ionescu (@aionescu) 1 Mei 2019
Proof of concept voor het reproduceren van een aanval is beschikbaar op GitHub, en Demirkapi publiceerde ook een demo video laat zien hoe eenvoudig het is om een aanval kan leiden tot een volledige apparaat compromis. Demirkapi de kwetsbaarheid rapport, voor meer technische informatie is beschikbaar op de jonge onderzoeker blog.
Meer kwetsbaarheid rapporten:
Populaire jQuery JavaScript-bibliotheek beïnvloed door een prototype van de verontreiniging flawMobile app gebruikt in Car2go fraude regeling te stelen 100 voertuigen
Lek stelt aanvallers herstellen van de private sleutels van Qualcomm chipsNew Oracle WebLogic zero-day ontdekt in de wildNokia 9 buggy update laat iedereen bypass vingerafdruk scanner met een pack van gumOver twee miljoen IoT apparaten kwetsbaar omdat het P2P-component flawsKRACK aanval: Hier is hoe bedrijven reageren CNETTop 10 app kwetsbaarheden: Ongepatchte plug-ins en extensies domineren TechRepublic
Verwante Onderwerpen:
Dell
Beveiliging TV
Data Management
CXO
Datacenters