Милиони компютри на Dell, уязвими за атака: Кръпка сега

АКТУАЛИЗИРАНО с коментар от Dell и допълнителна информация от SafeBreach.

Милиони компютри на Dell, работещи под Windows, и евентуално много повече компютри, произведени от други марки, са уязвими към дефект в техния вътрешен софтуер за здраве на системата, който би могъл да позволи на хакерите да поемат машините, според нов доклад от Sunnyvale, Калифорния, SafeBreach .

В машините на Dell софтуерът се нарича SupportAssist. Изработен е от PC-Doctor, производител на софтуер за хардуерна диагностика, който лицензира софтуера си на други производители на електронни устройства.

Изследователите от SafeBreach заявиха, че PC-Doctor отказа да им даде списък с другите си клиенти, но на уебсайта на PC-Doctor се посочва, че "водещите производители са инсталирали над 100 милиона копия на PC-Doctor за Windows на компютърни системи по целия свят".

Dell и PC-Doctor пуснаха актуализация на фърмуера, която решава този проблем, която можете да инсталирате, следвайки инструкциите на страницата за поддръжка на Dell за недостатъка SupportAssist. Може обаче да се наложи да изчакате повече информация относно устройствата, направени от други лицензополучатели на софтуера PC-Doctor.

Функцията SupportAssist е уязвима, защото не обработва сигурно хранилищата на споделен код, известни като DLL. За да се избегне дублиране, съвременните операционни системи съхраняват кодове, използвани от много програми, в общи хранилища, наречени директни библиотеки с линкове, съкратено като DLL в Windows или dylibs в macOS.

Програмите зареждат DLL файлове при стартирането им, но нападателите могат да задават капани, като повредят съществуващите DLL файлове или заместват злонамерени DLL файлове, които след това инжектират злонамерен код в програми, които използват тези DLL файлове. Повечето програми имат начини да предотвратят подобна "DLL инжекция", но Dell SupportAssist очевидно не го прави, защото така изследователите на SafeBreach успяха да го атакуват.

Тъй като SupportAssist работи като SYSTEM, той има много дълбоки връзки към операционната система и отвличането на неговите функции би позволило на нападателя да направи почти всичко на машината - особено защото това е „подписана“ услуга, призната за безопасна от Microsoft.

За съжаление, софтуерът създава отворена врата за нападателите, защото търси няколко DLL, които не са били на машините на Dell, използвани от екипа на SafeBreach: AlienFX.dll, atiadlxx.dll, atiadlxy.dll и LenovoInfo.dll.

Последното е интересно, защото машината на Dell не трябва да съдържа файл, наречен "LenovoInfo.dll". Това може да е улика за самоличността на един от другите клиенти на PC-Doctor. "AlienFX.dll" има повече смисъл, защото Dell притежава Alienware, създател на компютърни игри.

Както и да е, тъй като нито една от тези DLL файлове не съществуваше на тестовите машини, изследователите на SafeBreach просто създадоха свои собствени файлове и им дадоха имената на липсващите файлове. Ето, Dell SupportAssist зарежда тези файлове и изпълнява кода им, без да проверява кой е направил файловете или къде се намират в системата.

SafeBreach заяви, че Dell SupportAssist и вероятно PC-Doctor биха могли да смекчат този проблем, като разрешат само DLL файлове, които са "подписани" от оторизирани производители на софтуер, и като ограничат търсенето на DLL само до тези папки, където се очаква да има конкретни DLL файлове.

SafeBreach съобщи за тази уязвимост на Dell на 29 април, а Dell от своя страна го препрати към PC-Doctor, който получи уязвимостта, посочена в общата база данни за уязвимости като CVE-2019-12280.

АКТУАЛИЗИРАНЕ: Dell се обърна към Ръководството на Том, за да заяви, че "Dell SupportAssist не е създаден от PC-Doctor. Уязвимостта, открита от SafeBreach, е уязвимост от PC-Doctor, която е компонент на трета страна, който се доставя с Dell SupportAssist за персонални компютри."

„Повече от 90% от клиентите към днешна дата са получили актуализацията, пусната на 28,2022-2023 май, и вече не са изложени на риск. Dell SupportAssist се актуализира автоматично, ако са активирани автоматичните актуализации и повечето клиенти имат включени автоматични актуализации.“

SafeBreach публикува актуализирана версия на своите констатации с информацията, че няколко други софтуера са уязвими: гореспоменатата PC-Doctor Toolbox за Windows и други версии, които според SafeBreach са били „ребрандирани“ като Corsair One Diagnostics, Corsair Diagnostics, Staples Easy Tech Diagnostics, Tobii I-Series Diagnostic Tool и Tobii Dynavox Diagnostic Tool.

Кредит на изображението: ReviewsExpert.netazine