- A+
Dell PC和其他OEM设备上预装的SupportAssist软件中的一个组件可以打开系统,直至DLL劫持攻击。
戴尔和其他原始设备制造商生产的数百万台PC容易受到预装SupportAssist软件中的组件漏洞的影响。 该漏洞可能使远程攻击者完全接管受影响的设备。
高严重性漏洞 (CVE-2019-12280)源自SupportAssist中的一个组件,这是一种预先安装在PC上的主动监控软件,可自动检测故障并为Dell设备发送通知。 该组件由一家名为PC-Doctor的公司制造,该公司为各种PC和笔记本电脑原始设备制造商(OEM)开发硬件诊断软件。
“根据戴尔的网站,大多数运行Windows的戴尔设备都预装了SupportAssist,这意味着只要该软件没有打补丁,这个漏洞可能会影响到许多戴尔用户,”SafeBreach实验室的安全研究员Peleg Hadar发现了违规 - 在周五的分析中说 。
PC-Doctor已发布补丁,用于修复受影响的设备。 受影响的客户可以在这里找到最新版本的SupportAssist( 适用于单个PC用户)或此处( 适用于IT经理 )。
戴尔试图淡化该漏洞,告诉Threatpost,客户被要求打开自动更新或手动更新他们的SupportAssist软件。 戴尔发言人表示,由于大多数客户都启用了自动更新,目前约有90%的客户已收到该补丁。
“我们的首要任务是产品安全,并帮助我们的客户确保其数据和系统的安全性,”该发言人说。 “SafeBreach发现的漏洞是PC Doctor漏洞,是Dell SupportAssist for Business PC和Dell SupportAssist for Home PC附带的第三方组件。 PC Doctor迅速向戴尔发布修复程序,我们在2019年5月28日为受影响的SupportAssist版本实施并发布了更新。“
该漏洞源自SupportAssist中的一个组件,该组件检查系统硬件和软件的运行状况并需要高权限。 易受攻击的PC-Doctor组件是SupportAssist中安装的签名驱动程序。 这允许SupportAssist访问硬件(例如物理内存或PCI)。
该组件具有动态链接库(DLL)加载漏洞故障,可能允许恶意actor将任意未签名的DLL加载到服务中。 DLL是用于保存Windows程序的多个进程的文件格式。
将DLL加载到程序中时,“没有针对二进制文件进行数字证书验证,”Hadar说。 “该程序不验证它将加载的DLL是否已签名。 因此,它会毫不犹豫地加载任意未签名的DLL。“
因为PC-Doctor组件已经签署了Microsoft的内核模式和SYSTEM访问证书,如果一个坏的actor能够加载DLL,他们将实现权限提升和持久性 - 包括对包括物理内存在内的低级组件的读/写访问,系统管理BIOS等。
Hadar告诉Threatpost,远程攻击者可以利用这个漏洞。 坏演员需要做的就是说服受害者将恶意文件(使用社会工程或其他策略)下载到某个文件夹。
“所需的权限取决于用户的'PATH env'变量,如果他有一个常规用户可以写入的文件夹,则不需要高级权限,”Hadar告诉Threatpost。“攻击者利用该漏洞获得后在签名服务中作为SYSTEM执行,基本上他可以做任何他想做的事情,包括使用PC-Doctor签名的内核驱动程序来读写物理内存。“
更糟糕的是,SupportAssist中的组件也影响了一系列正在使用其重新命名版本的OEM - 这意味着其他未命名的OEM设备也容易受到攻击,SafeBreach Labs的安全研究人员表示。
PC-Doctor没有透露其他受影响的OEM是谁,但确实说已发布补丁以解决“所有受影响的产品”。
PC-Doctor发言人告诉Threatpost,PC-Doctor开始意识到PC-Doctor的戴尔硬件支持服务和PC-Doctor Toolbox for Windows中存在一个不受控制的搜索路径元素漏洞。 此漏洞允许本地用户通过位于不安全目录中的特洛伊木马DLL获取权限并进行DLL劫持攻击,该目录已由运行具有管理权限的用户或进程添加到PATH环境变量中。 PC-Doctor严肃对待软件安全,因此已经发布了所有受影响产品的更新以解决问题。“
