Dell pc's met SupportAssist-hulpprogramma kwetsbaar voor 'hoge ernst' escalatie-aanvallen, beveiligingsupdate uitgebracht voor Windows 10
Dell pc's met een Windows-besturingssysteem zijn naar verluidt kwetsbaar voor een "zeer ernstig" beveiligingsprobleem. Blijkbaar kan SupportAssist van Dell, een hulpprogramma dat is bedoeld om problemen te diagnosticeren en op te lossen, aanvallers in staat stellen volledige controle over de pc's te krijgen door niet-ondertekende en niet-goedgekeurde code uit te voeren. Dell is zich bewust van de beveiligingsdreiging en heeft in evenveel maanden twee beveiligingspatches voor SupportAssist uitgebracht. Niet-gepatchte systemen blijven echter kwetsbaar voor aanvallen met escalatie van bevoegdheden.
Dell heeft zojuist een tweede patch uitgebracht voor SupportAssist-software. De software is in wezen een set hulpmiddelen die helpt bij het diagnosticeren van veelvoorkomende problemen en problemen binnen het besturingssysteem. De applicatie biedt ook een aantal methoden om deze problemen aan te pakken. Overigens, onofficieel bloatware genoemd, is Dell SupportAssist vooraf geïnstalleerd op de meeste pc's die Dell levert. Helaas kunnen een paar bugs in de software hackers mogelijk in staat stellen een kwetsbare of niet-gepatchte computer binnen te dringen.
Om de beveiligingsproblemen weg te nemen, heeft Dell updates uitgebracht voor SupportAssist for Business en SupportAssist for Home. Blijkbaar liggen kwetsbaarheden in een component genaamd PC Doctor. De software is een populair product van een Amerikaanse softwareleverancier. De leverancier is de favoriete ontwikkelaar van veel pc-makers. PC Doctor is in wezen diagnostische software voor hardware. OEM's zetten de software regelmatig in op de computers die ze verkopen om de gezondheid van een systeem te controleren. Het is niet duidelijk of de PC Doctor alleen op zoek is naar veelvoorkomende problemen en oplossingen biedt of OEM's helpt bij het op afstand diagnosticeren van problemen.
SupportAssist wordt geleverd met de meeste Dell laptops en computers met Windows 10. In april van dit jaar bracht Dell een patch uit voor een ernstige beveiligingsbug nadat een onafhankelijk beveiligingsonderzoeker ontdekte dat de ondersteuningstool door externe aanvallers kon worden gebruikt om miljoenen kwetsbare systemen over te nemen. De bug bestond in de SupportAssist-code van Dell zelf. Het beveiligingslek was echter aanwezig in een softwarebibliotheek van derden die werd geleverd door PC Doctor.
Beveiligingsonderzoeken ontdekten de fout in een bestand met de naam "Common.dll". Het is niet meteen duidelijk of zowel SupportAssist als PC Doctor nodig zijn om de privilege-escalatieaanval uit te voeren of dat alleen PC Doctor voldoende is. Experts waarschuwen echter dat andere OEM's dan Dell, die op de software vertrouwen, een beveiligingscontrole moeten uitvoeren om ervoor te zorgen dat hun oplossingen niet kwetsbaar zijn voor de hack.
Dell heeft al een beveiligingsadvies uitgebracht na het uitbrengen van de patch. Dell dringt er bij gebruikers van zijn merk-pc's sterk op aan om de Dell SupportAssist bij te werken. Dell SupportAssist voor zakelijke pc's zit momenteel op versie 2.0 en Dell SupportAssist voor thuis-pc's op versie 3.2.1. De patch wijzigt het versienummer nadat deze is geïnstalleerd.
Ondanks de verschillende versienummers heeft Dell het beveiligingslek gelabeld met een enkele code, "CVE-2019-12280". Nadat de patch is geïnstalleerd, krijgt de Dell SupportAssist voor zakelijke pc's versie 2.0.1 en die van thuis-pc's tot 3.2.2. Alle eerdere versies blijven kwetsbaar voor de potentiële dreiging.
Hoe werkt de Privilege Escalation Attack op Dell pc's met SupportAssist?
Zoals hierboven vermeld, wordt SupportAssist geleverd met de meeste Dell-laptops en computers met Windows 10. Op Windows 10 Dell-machines zoekt een service met hoge bevoegdheden genaamd 'Dell Hardware Support' verschillende softwarebibliotheken. Het is dit beveiligingsvoorrecht en het hoge aantal verzoeken en standaardgoedkeuringen van softwarebibliotheken die door een lokale aanvaller kunnen worden gebruikt om geëscaleerde rechten te verkrijgen. Het is belangrijk op te merken dat hoewel de vorige beveiligingskwetsbaarheid door externe aanvallers kan worden misbruikt, de meest recent ontdekte bug vereist dat de aanvaller zich op hetzelfde netwerk bevindt.
Een lokale aanvaller of een gewone gebruiker zou een softwarebibliotheek kunnen vervangen door een eigen softwarebibliotheek om code-uitvoering op het niveau van het besturingssysteem te bewerkstelligen. Dit kan worden bereikt door een hulpprogrammabibliotheek te gebruiken die wordt gebruikt door PC Doctor, genaamd Common.dll. Het probleem ligt in de manier waarop dit DLL-bestand wordt behandeld. Blijkbaar valideert het programma niet of de DLL die het zal laden is ondertekend. Toestaan dat een vervangen en gecompromitteerd DLL-bestand ongecontroleerd wordt uitgevoerd, is een van de ernstigste beveiligingsrisico's.
Verrassend genoeg kunnen naast pc's ook andere systemen die op PC Doctor vertrouwen als basis voor soortgelijke diagnostische diensten, kwetsbaar zijn. Enkele van de meest populaire producten zijn Corsair Diagnostics, Staples EasyTech diagnostics, Tobii I-Series diagnostic tool, etc.