Bild: Dell
×
dell.jpg
En sårbarhet i Dell SupportAssist verktyg utsätter Dells bärbara datorer och persondatorer till en avlägsen attack som kan göra det möjligt för hackare att köra kod med admin-rättigheter på enheter som använder en äldre version av verktyget och ta över användarnas system.
Dell har släppt en korrigeringsfil för detta säkerhetsbrist den 23 April, dock, många användare är sannolikt att vara sårbara om de inte redan har uppdaterade verktyg –som används för felsökning, diagnos och Dell drivers auto-uppdateringar.
Antalet påverkade användare tros vara mycket hög, eftersom den SupportAssist verktyg är ett av de program som Dell kommer att pre-installation på alla Dell bärbara datorer och företaget fartyg med en kör Windows OS (system som säljs utan ett OS är inte negativt).
CVE-2019-3719
Enligt Bill Demirkapi, en 17-årig säkerhet forskare från USA, Dell SupportAssist app är utsatta för en “remote code execution” sårbarhet som under vissa omständigheter kan göra det möjligt för angripare ett enkelt sätt att kapa Dell-system.
Attacken bygger på att lura användare till en skadlig webbsida, där JavaScript-kod kan lura Dell SupportAssist verktyg till att ladda ner och köra filer från en angripare-kontrollerad plats.
Eftersom Dell SupportAssist funktionen kör som admin, anfallare kommer att ha full tillgång till riktade system, om de lyckas ta sig in i rätt position för att utföra denna attack.
Attack kräver LAN/router kompromiss
“Angriparen måste vara på offrets nätverk för att kunna utföra en ARP-Spoofing-Attack och en DNS-Spoofing-Attack på offrets maskin i syfte att uppnå remote code execution” Demirkapi berättade ZDNet idag i ett mail-konversation.
Detta kanske låter hårt, men det är inte så komplicerat som det verkar.
Två scenarier där attacken skulle kunna fungera även omfatta offentliga Wi-fi-nätverk eller stora företag och nätverk där det finns minst en äventyras maskinen som kan användas för att starta ARP och DNS-attacker mot intilliggande Dell-system som kör SupportAssist verktyg.
Ett annat troligt scenario är att i situationer där hackare hotar användarnas lokala WiFi-router, och är i en position att ändra DNS-trafik direkt på routern.
Som vi har sett i de senaste månaderna, hacking routrar för att kapa DNS-trafik är inte en sofistikerad attack längre och det händer mer och mer ofta, främst på grund av den sorgliga tillstånd av router säkerhet [1, 2].
Attack kräver ingen interaktion med användaren
Dessutom attack kräver ingen interaktion med användaren, förutom att lura användare att få åtkomst till en skadlig sida, och skadlig JavaScript-kod som driver attacken kan också vara gömd inuti annonser (iframe) på legitima webbplatser, om någonsin behövs.
Som Demirkapi förklaras till ZDNet iframe kommer att peka till en underdomän till dell.com och sedan en DNS-spoofing-attack som utförs från en angripare-styrda maskiner/router kommer returnera en felaktig IP-adress för dell.com domän, vilket gör det möjligt för angripare att styra vilka filer som skickas och utförs av SupportAssist verktyg.
Den goda nyheten är att Dell tog forskarens rapport på allvar och har arbetat för de senaste månaderna patch CVE-2019-3719, en uppgift som avslutade förra veckan med lanseringen av SupportAssist v3.2.0.90 vilken Dell-användare är nu rekommenderat att installera.
Bra arbete av Dell här för att lappa det vuln. De flesta andra leverantörer hårdvara skulle inte ens ha brytt sig om att svara. Fantastiska konstaterande av Bill som alltid. Kan inte vänta tills han börjar bryta Windows grejer 🙂 https://t.co/hp3SA6omRb
— Alex Ionescu (@aionescu) 1 Maj, 2019
Proof of concept för att återge en attack är tillgänglig på GitHub, och Demirkapi också publicerat en demo video som visar hur enkelt ett angrepp kan leda till en fullständig enhet kompromiss. Demirkapi sårbarhet rapport, för ytterligare tekniska detaljer, finns på unga forskare blogg.
Mer sårbarhet rapporter:
Populära jQuery JavaScript-biblioteket påverkas av prototyp föroreningar flawMobile app som används i Car2go bedrägeri system att stjäla 100 fordon
Säkerhetsbrist låter angripare återhämta sig privata nycklar från Qualcomm chipsNew Oracle WebLogic noll-dag upptäckte i wildNokia 9 buggy uppdateringen låter vem som helst bypass fingeravtrycksläsare med ett pack gumOver två miljoner IoT enheter sårbara på grund av P2P-komponent flawsKRACK attack: Här är hur företagen hanterar CNETTopp 10-app sårbarheter: Unpatched plugins och tillägg dominera TechRepublic
Relaterade Ämnen:
Dell
Säkerhet-TV
Hantering Av Data
CXO
Datacenter