A „nagy súlyosságú” privilégium-eskalációs támadásokkal támadható, a SupportAssist segédprogrammal rendelkező Dell számítógépek, biztonsági frissítés kiadva a Windows 10 rendszerhez

DELL

Állítólag a Windows operációs rendszert futtató Dell számítógépek kiszolgáltatottak a „nagyon súlyos” biztonsági réseknek. Nyilvánvaló, hogy a Dell SupportAssist segédprogram, amelynek célja a problémák diagnosztizálása és megoldása, lehetővé teheti a támadók számára, hogy aláíratlan és jóváhagyatlan kód futtatásával teljes irányítást szerezzenek a számítógépek felett. Figyelembe véve a biztonsági fenyegetést, a Dell két hónap alatt kiadott két biztonsági javítást a SupportAssist számára. A ki nem javított rendszerek azonban továbbra is kiszolgáltatottak a privilégium-eszkalációs támadásoknak.

A Dell nemrégiben kiadott egy második javítást a SupportAssist szoftverhez. A szoftver lényegében egy olyan eszközkészlet, amely segítséget nyújt az operációs rendszer általános problémáinak és problémáinak diagnosztizálásában. Az alkalmazás számos módszert kínál ezen problémák kezelésére is. Egyébként nem hivatalos nevén bloatware, a Dell SupportAssist előre telepítve van a Dell által szállított számítógépek többségére. Sajnos a szoftveren belüli néhány hiba potenciálisan lehetővé teheti a hackerek számára a sérülékeny vagy javítatlan számítógépek veszélyeztetését.

A biztonsági problémák megoldása érdekében a Dell kiadta a SupportAssist for Business és a SupportAssist for Home frissítéseket. A sérülékenységek nyilvánvalóan a PC Doctor nevű összetevőben rejlenek. A szoftver egy amerikai szoftvergyártó népszerű terméke. Az eladó a PC-gyártók által preferált fejlesztő. A PC Doctor lényegében hardver diagnosztikai szoftver. Az OEM-ek rendszeresen telepítik a szoftvert az általuk értékesített számítógépekre, hogy ellenőrizzék a rendszer állapotát. Nem világos, hogy a PC doktor csupán a gyakori problémákat keresi-e és kínál-e megoldásokat, vagy segít-e az OEM-eknek a problémák távoli diagnosztizálásában.

A Dell csendesen javította a SupportAssist biztonsági rést, amely több millió felhasználót érintett https://t.co/8IvaXbVzOJ által @ jeffstone500 pic.twitter.com/5v074lNXy7

- CyberScoop (@CyberScoopNews) 2019. június 21

A SupportAssist a legtöbb Dell laptopot és számítógépet szállítja, amelyeken a Windows 10 fut. Még ez év áprilisában a Dell kiadott egy javítást egy súlyos biztonsági hiba miatt, miután egy független biztonsági kutató megállapította, hogy a támogatási eszközt távoli támadók használhatják sebezhető rendszerek millióinak átvételére. A hiba magában a Dell SupportAssist kódjában volt. A biztonsági rés azonban a PC Doctor által biztosított harmadik féltől származó szoftverkönyvtárban volt.

Biztonsági kutatások fedezték fel a „Common.dll” nevű fájl hibáját. Nem azonnal világos, hogy mind a SupportAssist-re, mind a PC Doctor-ra szükség van-e a privilégium-eszkalációs támadás végrehajtásához, vagy elegendő-e pusztán a PC Doctor. A szakértők ugyanakkor óvatosságra intenek, hogy a szoftveren alapuló Dell-en kívül más gyártóknak is végezzenek biztonsági ellenőrzést annak biztosítása érdekében, hogy megoldásaik ne legyenek kiszolgáltatottak a feltörésnek.

A javítás kiadása után a Dell már kiadott egy biztonsági tanácsot. A Dell határozottan sürgeti márkájú számítógépeinek felhasználóit, hogy frissítsék a Dell SupportAssist szolgáltatást. A Dell SupportAssist for Business PC-k jelenleg a 2.0-s verziót használják, a Dell SupportAssist for Home PC-k pedig a 3.2.1-es verziót használják. A javítás telepítés után megváltoztatja a verziószámot.

A különböző verziószámok ellenére a Dell egyetlen biztonsági kódot (CVE-2019-12280) jelölte meg. A javítás telepítése után a Dell SupportAssist for Business PC-k 2.0.1-es verziót kapnak, az otthoni számítógépeké pedig a 3.2.2-es verziót. Az összes korábbi verzió továbbra is kiszolgáltatott a potenciális fenyegetésnek.

A több millió Dell PC-re előre telepített SupportAssist a PC-Doctor nevű platformon alapul, és visszaélésekkel a támadók rendszerszinten hozzáférést biztosítanak a hardverhez és a szoftverekhez. https://t.co/C944bbNWYp

- TechRepublic (@TechRepublic) 2019. június 21

Hogyan működik a Privilege Escalation Attack a Dell PC-ken a SupportAssist segítségével?

Mint fent említettük, a SupportAssist a legtöbb Dell laptopot és számítógépet szállítja, amelyek Windows 10 rendszert futtatnak. A Windows 10 Dell gépeken a „Dell Hardware Support” nevű, nagy jogosultsággal rendelkező szolgáltatás számos szoftverkönyvtárat keres. Ezt a biztonsági jogosultságot, valamint a szoftverkönyvtárak nagyszámú kérését és alapértelmezett jóváhagyását használhatja fel a helyi támadó a fokozott jogosultságok megszerzésére. Fontos megjegyezni, hogy bár a korábbi biztonsági rést távoli támadók is kihasználhatják, a legutóbb felfedezett hiba megköveteli, hogy a támadó ugyanazon a hálózaton legyen.

Helyi támadó vagy rendszeres felhasználó kicserélheti a szoftverkönyvtárat egy sajátra, hogy az operációs rendszer szintjén elérje a kódot. Ez a PC Doctor által a Common.dll nevű segédprogram könyvtár segítségével érhető el. A probléma abban rejlik, hogy ezt a DLL fájlt hogyan kezelik. Nyilvánvaló, hogy a program nem ellenőrzi, hogy a betöltött DLL alá van-e írva. Az egyik legsúlyosabb biztonsági kockázat egy kicserélt és veszélyeztetett DLL fájl ellenőrzés nélküli futtatásának engedélyezése.

Meglepő módon a PC-k mellett más rendszerek is sérülékenyek lehetnek, amelyek hasonló diagnosztikai szolgáltatások alapjául a PC Doctor alkalmaznak. A legnépszerűbb termékek közé tartozik a Corsair Diagnostics, a Staples EasyTech diagnosztika, a Tobii I-Series diagnosztikai eszköz stb.