Dell-PC-er med SupportAssist-verktøy som er sårbare for 'High Severity', eskaleringsangrep for privilegier, utgitt sikkerhetsoppdatering for Windows 10
Dell-PC-er som kjører Windows-operativsystem, er angivelig sårbare for sikkerhetsproblemet med høy alvorlighetsgrad. Tilsynelatende kan Dells SupportAssist, et verktøy som er ment å hjelpe til med å diagnostisere og løse problemer, tillate angripere å få full kontroll over PC-ene ved å utføre usignert og ikke godkjent kode. Å være klar over sikkerhetstrusselen, har Dell gitt ut to sikkerhetsoppdateringer for SupportAssist på like mange måneder. Imidlertid fortsetter ikke-oppdaterte systemer å være sårbare for opptreden av privilegier.
Dell har nettopp gitt ut en ny oppdatering for SupportAssist-programvaren. Programvaren er egentlig et sett med verktøy som hjelper til med å diagnostisere vanlige problemer og problemer i operativsystemet. Søknaden tilbyr også en rekke metoder for å løse disse problemene. Forresten, uoffisielt referert til som bloatware, er Dells SupportAssist forhåndsinstallert på flertallet av PCene som Dell leverer. Dessverre kan noen få feil i programvaren potensielt tillate hackere en måte å kompromittere en sårbar eller upatchet datamaskin.
For å løse sikkerhetsproblemene har Dell gitt ut oppdateringer for SupportAssist for Business og SupportAssist for Home. Tilsynelatende ligger sårbarheter i en komponent som heter PC Doctor. Programvaren er et populært produkt fra en amerikansk programvareleverandør. Leverandøren er den foretrukne utvikleren av mange PC-produsenter. PC Doctor er egentlig diagnostisk programvare for maskinvare. OEM-er distribuerer regelmessig programvaren på datamaskinene de selger for å overvåke systemets helse. Det er ikke klart om PC Doctor bare leter etter vanlige problemer og tilbyr løsninger eller hjelper OEM-er med å diagnostisere problemer eksternt.
SupportAssist leveres med de fleste Dell-bærbare datamaskiner og datamaskiner som kjører Windows 10. Tilbake i april i år ga Dell ut en oppdatering for en alvorlig sikkerhetsfeil etter at en uavhengig sikkerhetsforsker fant støtteverktøyet kunne brukes av eksterne angripere til å ta over millioner av sårbare systemer. Feilen eksisterte i selve Dell SupportAssist-koden. Imidlertid var sikkerhetsproblemet til stede i et tredjeparts programvarebibliotek levert av PC Doctor.
Sikkerhetsundersøkelser oppdaget feilen i en fil kalt “Common.dll”. Det er ikke umiddelbart klart om både SupportAssist og PC Doctor er nødvendig for å utføre privilegiumsopptrappingsangrepet eller bare PC Doctor er nok. Eksperter advarer imidlertid om at andre OEM-er i tillegg til Dell, som er avhengige av programvaren, bør gjennomføre en sikkerhetskontroll for å sikre at løsningene deres ikke er sårbare for hacket.
Dell har allerede utstedt en sikkerhetsrådgivning etter å ha gitt ut oppdateringen. Dell oppfordrer sterkt brukere av PC-ene sine til å oppdatere Dell SupportAssist. Dell SupportAssist for Business PC-er for øyeblikket på versjon 2.0, og Dell SupportAssist for hjemme-PCer er på versjon 3.2.1. Plasteret endrer versjonsnummeret etter at det er installert.
Til tross for de forskjellige versjonsnumrene, har Dell merket sikkerhetsproblemet med en enkelt kode, "CVE-2019-12280". Etter at oppdateringen er installert, får Dell SupportAssist for Business PC-er versjon 2.0.1, og den for hjemme-PC-er går opp til 3.2.2. Alle de tidligere versjonene fortsetter å være sårbare for den potensielle trusselen.
Hvordan fungerer Privilege Escalation Attack på Dell-PCer med SupportAssist?
Som nevnt ovenfor leveres SupportAssist med de fleste bærbare datamaskiner fra Dell og datamaskiner som kjører Windows 10. På Windows 10 Dell-maskiner søker en høy privilegertjeneste kalt ‘Dell Hardware Support’ flere programvarebiblioteker. Det er dette sikkerhetsprivilegiet og det høye antallet forespørsler og standardgodkjenninger av programvarebiblioteker som kan brukes av en lokal angriper for å få eskalerte privilegier. Det er viktig å merke seg at mens det forrige sikkerhetsproblemet kunne utnyttes av eksterne angripere, krever den sist oppdagede feilen angriperen å være i samme nettverk.
En lokal angriper eller en vanlig bruker kan erstatte et programvarebibliotek med et eget for å oppnå kodeutførelse på operativsystemnivå. Dette kan oppnås ved å bruke et verktøybibliotek som brukes av PC Doctor kalt Common.dll. Problemet ligger i måten denne DLL-filen behandles på. Tilsynelatende validerer ikke programmet om DLL-en som den vil laste er signert. Å la en erstattet og kompromittert DLL-fil kjøre ukontrollert er en av de alvorligste sikkerhetsrisikoen.
Overraskende nok, i tillegg til PCer, kan andre systemer som er avhengige av PC Doctor som base for lignende diagnostiske tjenester også være sårbare. Noen av de mest populære produktene inkluderer Corsair Diagnostics, Staples EasyTech diagnostics, Tobii I-Series diagnostic tool, etc.