Milioane de computere Dell vulnerabile la atac: Patch Now

ACTUALIZAT cu comentarii de la Dell și informații suplimentare de la SafeBreach.

Milioane de computere Dell care rulează Windows și, probabil, multe alte computere realizate de alte mărci, sunt vulnerabile la o defecțiune a software-ului lor intern de sănătate a sistemului care ar putea permite hackerilor să preia mașinile, potrivit unui nou raport al SafeBreach din Sunnyvale, California. .

La mașinile Dell, software-ul se numește SupportAssist. Este realizat de PC-Doctor, un producător de software de diagnosticare hardware care își licențiază software-ul către alți producători de dispozitive electronice.

Cercetătorii SafeBreach au spus că PC-Doctor a refuzat să le ofere o listă cu ceilalți clienți ai săi, dar site-ul web PC-Doctor afirmă că „producătorii de vârf au instalat peste 100 de milioane de copii ale PC-Doctor pentru Windows pe sistemele informatice din întreaga lume”.

Dell și PC-Doctor au eliminat o actualizare de firmware care remediază această problemă, pe care o puteți instala urmând instrucțiunile de pe pagina de asistență Dell pentru defectul SupportAssist. Cu toate acestea, este posibil să trebuiască să așteptați mai multe informații cu privire la dispozitivele realizate de alți licențiați ai software-ului PC-Doctor.

Funcția SupportAssist este vulnerabilă deoarece nu gestionează în siguranță depozite de coduri partajate cunoscute sub numele de DLL-uri. Pentru a evita duplicarea, sistemele de operare moderne stochează bucăți de cod utilizate de multe programe în depozite comune numite biblioteci de legături directe, prescurtate ca DLL-uri în Windows sau dylib-uri în macOS.

Programele încarcă fișiere DLL la pornire, dar atacatorii pot seta capcane corupând DLL-urile existente sau substituind fișiere DLL rău intenționate, care apoi injectează cod rău intenționat în programele care folosesc acele DLL-uri. Majoritatea programelor au modalități de a preveni o astfel de „injecție DLL”, dar în mod clar Dell SupportAssist nu o face, deoarece așa au reușit cercetătorii SafeBreach să o atace.

Deoarece SupportAssist rulează ca SYSTEM, are cârlige foarte adânci în sistemul de operare, iar deturnarea funcțiilor sale ar permite unui atacator să facă practic orice pe mașină - mai ales pentru că este un serviciu „semnat” recunoscut ca sigur de Microsoft.

Din păcate, software-ul creează o ușă deschisă pentru atacatori, deoarece caută câteva DLL-uri care nu se aflau pe echipamentele Dell utilizate de echipa SafeBreach: AlienFX.dll, atiadlxx.dll, atiadlxy.dll și LenovoInfo.dll.

Ultimul este interesant deoarece un computer Dell nu ar trebui să conțină un fișier numit „LenovoInfo.dll”. Acesta poate fi un indiciu al identității unuia dintre ceilalți clienți ai PC-Doctor. „AlienFX.dll” are mai mult sens, deoarece Dell deține Alienware, producător de PC-uri pentru jocuri.

Oricum, deoarece niciuna dintre aceste DLL-uri nu exista de fapt pe mașinile de testat, cercetătorii SafeBreach și-au creat pur și simplu propriile fișiere și le-au dat numele fișierelor lipsă. Iată, Dell SupportAssist a încărcat aceste fișiere și le-a rulat codul, fără a verifica cine a făcut fișierele sau unde au fost localizate în sistem.

SafeBreach a spus că Dell SupportAssist și probabil PC-Doctor ar putea atenua această problemă, permițând doar DLL-urile „semnate” de producătorii autorizați de software și limitând căutările de DLL-uri la acele directoare în care se presupune că sunt DLL-uri specifice.

SafeBreach a raportat această vulnerabilitate către Dell pe 29 aprilie, iar Dell a trimis-o la rândul său către PC-Doctor, care a primit vulnerabilitatea listată în baza de date comună pentru vulnerabilități ca CVE-2019-12280.

ACTUALIZAȚI: Dell a contactat Ghidul lui Tom pentru a afirma că „Dell SupportAssist nu este realizat de PC-Doctor. Vulnerabilitatea descoperită de SafeBreach este o vulnerabilitate PC-Doctor, care este o componentă terță parte livrată cu Dell SupportAssist pentru PC-uri.”

"Peste 90% dintre clienți au primit până acum actualizarea, lansată în 28 mai, 2022-2023, și nu mai sunt expuși riscului. Dell SupportAssist se actualizează automat dacă sunt activate actualizările automate, iar majoritatea clienților au actualizările automate activate."

SafeBreach a postat o versiune actualizată a descoperirilor sale, cu informații despre faptul că mai multe alte software-uri erau vulnerabile: menționata mai sus PC-Doctor Toolbox pentru Windows și alte versiuni despre care SafeBreach a spus că au fost „remarcate” drept Corsair One Diagnostics, Corsair Diagnostics, Staples Easy Tech Diagnostics, Tobii I-Series Diagnostic Tool și Tobii Dynavox Diagnostic Tool.

Credit de imagine: ReviewsExpert.netazine