Предустановленный дефект программного обеспечения подвергает большинство компьютеров Dell удаленному взлому
Если вы используете компьютер Dell, то будьте осторожны – хакеры могут поставить под угрозу вашу систему удаленно.
Билл Демиркапи, 17-летний независимый исследователь безопасности, обнаружил критическую уязвимость удаленного выполнения кода в утилите Dell SupportAssist, которая поставляется предварительно установленной на большинстве компьютеров Dell .
Dell SupportAssist, ранее известный как Dell System Detect, проверяет работоспособность оборудования и программного обеспечения вашей компьютерной системы.
Утилита предназначена для взаимодействия с веб-сайтом службы поддержки Dell и автоматического обнаружения сервисного тега или кода экспресс-службы вашего продукта Dell, сканирования существующих драйверов устройств и установки отсутствующих или доступных обновлений драйверов, а также выполнения диагностических тестов оборудования.
Если вам интересно, как это работает, Dell SupportAssist в фоновом режиме запускает веб-сервер локально на пользовательской системе, либо на порту 8884, 8883, 8886 или 8885, и принимает различные команды в качестве параметров URL для выполнения некоторых предопределенных задач на компьютере, таких как сбор подробной информации о системе или загрузка программного обеспечения с удаленного сервера и установка его в системе.
Хотя локальная веб-служба была защищена с помощью заголовка ответа “Access-Control-Allow-Origin” и имеет некоторые проверки, которые ограничивают его для приема команд только от “dell.com” веб-сайт или его поддомены, Demirkapi объяснил способы обойти эти защиты в блоге, опубликованном в среду.
Как показано в видео, Demirkapi продемонстрировал [PoC code], как удаленные хакеры могли легко загрузить и установить вредоносные программы с удаленного сервера на пораженных компьютерах Dell, чтобы взять над ними полный контроль.
“Злоумышленник, не прошедший проверку подлинности, деля уровень доступа к сети с уязвимой системой, может скомпрометировать уязвимую систему, обманом заставив пользователя-жертву загрузить и выполнить произвольные исполняемые файлы через клиент SupportAssist с сайтов, размещенных злоумышленником”, – говорится в консультативном заключении многонациональной компании компьютерных технологий Dell .
Уязвимость удаленного выполнения кода, определяемая как CVE-2019-3719, влияет на клиентские версии Dell SupportAssist до версии 3.2.0.90.
Перед публикацией сведений об уязвимости в открытом доступе исследователь ответственно сообщил о своих выводах группе безопасности Dell, которая выпустила обновленную версию уязвимого программного обеспечения для решения этой проблемы.
Помимо этой проблемы, Dell также исправила ошибку проверки ненадлежащего происхождения (CVE-2019-3718) в программном обеспечении SupportAssist, которая могла позволить не прошедшему проверку удаленному злоумышленнику предпринять атаки CSRF на системы пользователей.
Пользователям Dell рекомендуется либо установить обновленный Dell SupportAssist 3.2.0.90 или более поздней версии, либо просто удалить приложение полностью, если оно не требуется, прежде чем хакеры попытаются использовать слабые места, чтобы взять полный контроль над своими компьютерными системами.
