ДЕЛЛ
Делл рачунари који раде под оперативним системом Виндовс су наводно рањиви на сигурносну рањивост „велике озбиљности“. Очигледно је Делл-ов СуппортАссист, услужни програм који треба да помогне у дијагнози и решавању проблема, могао би да омогући нападачима да стекну потпуну контролу над рачунарима извршавањем непотписаних и неодобрених кодова. Будући да је свестан безбедносне претње, Делл је за толико месеци објавио две безбедносне закрпе за СуппортАссист. Међутим, неуправљени системи и даље остају рањиви на нападе ескалације привилегија.
Делл је управо објавио другу закрпу за софтвер СуппортАссист. Софтвер је у основи скуп алата који помажу у дијагнози уобичајених проблема и проблема у оперативном систему. Апликација такође нуди бројне методе за решавање ових проблема. Иначе, незванично назван блоатваре, Делл’с СуппортАссист је унапред инсталиран на већини рачунара које Делл испоручује. На несрећу, неколико грешака у софтверу потенцијално може хакерима омогућити начин да компромитују рањиви или неисправљени рачунар.
Обраћајући се безбедносним проблемима, Делл је објавио исправке за СуппортАссист за предузећа и СуппортАссист за дом. Очигледно, рањивости леже у компоненти која се зове ПЦ Доцтор. Софтвер је популаран производ америчког продавца софтвера. Многи произвођачи рачунара преферирају продавца. ПЦ Доцтор је у основи софтвер за дијагностику хардвера. ОЕМ произвођачи редовно примењују софтвер на рачунарима које продају како би надгледали здравље система. Није јасно да ли ПЦ Доцтор само тражи уобичајене проблеме и нуди решења или помаже произвођачима оригиналне опреме да даљински дијагностикују проблеме.
Делл је тихо закрпио рањивост СуппортАссист која је утицала на милионе корисника хттпс://т.цо/8ИваКсбВзОЈ од стране @ јеффстоне500 пиц.твиттер.цом/5в074лНКСи7
- ЦиберСцооп (@ЦиберСцоопНевс) 21. јуна 2019
СуппортАссист испоручује се са већином преносних рачунара Делл и рачунарима који раде под оперативним системом Виндовс 10. Још у априлу ове године, Делл је објавио закрпу за озбиљну безбедносну грешку након што је независни истраживач безбедности открио да би алат за подршку могли да користе даљински нападачи за преузимање милиона рањивих система. Грешка је постојала у самом Делловом коду СуппортАссист. Међутим, сигурносна рањивост је била присутна у независној библиотеци софтвера коју је обезбедио ПЦ Доцтор.
Безбедносна истраживања открила су ману у датотеци под називом „Цоммон.длл“. Није одмах јасно да ли су за извршење напада за ескалацију привилегија потребни и СуппортАссист и ПЦ Доцтор или је довољан само ПЦ Доцтор. Стручњаци, међутим, упозоравају да би и други ОЕМ произвођачи, осим Делла, који се ослањају на софтвер, требало да изврше безбедносну проверу како би се уверили да њихова решења нису осетљива на хаковање.
Делл је већ издао савете о безбедности након што је објавио закрпу. Делл снажно позива кориснике својих брендираних рачунара да ажурирају Делл СуппортАссист. Делл СуппортАссист за пословне рачунаре тренутно је на верзији 2.0, а Делл СуппортАссист за кућне рачунаре је на верзији 3.2.1. Закрпа мења број верзије након што се инсталира.
Упркос различитим бројевима верзија, Делл је сигурносну рањивост означио једним кодом, „ЦВЕ-2019-12280“. Након инсталирања закрпе, Делл СуппортАссист за пословне рачунаре добија верзију 2.0.1, а кућних рачунара на 3.2.2. Све претходне верзије и даље остају рањиве на потенцијалну претњу.
СуппортАссист, који је унапред инсталиран на милионима Делл рачунара, заснован је на платформи која се зове ПЦ-Доцтор и може се злоупотребити да би се нападачима омогућио приступ хардверу и софтверу на нивоу система. хттпс://т.цо/Ц944ббНВИп
- ТецхРепублиц (@ТецхРепублиц) 21. јуна 2019
Како Привилеге Есцалатион напада на Делл рачунаре са СуппортАссист?
Као што је горе поменуто, СуппортАссист испоручује се са већином Делл преносних рачунара и рачунара који раде под оперативним системом Виндовс 10. На Виндовс 10 Делл машинама, високо привилегована услуга под називом „Делл Хардваре Суппорт“ тражи неколико софтверских библиотека. Управо ову безбедносну привилегију и велики број захтева и подразумевана одобрења софтверских библиотека локални нападач може користити за стицање ескалираних привилегија. Важно је напоменути да иако су претходну сигурносну рањивост могли да искористе удаљени нападачи, најновија откривена грешка захтева да нападач буде на истој мрежи.
Локални нападач или редовни корисник могао би да замени софтверску библиотеку неком од својих како би постигао извршење кода на нивоу оперативног система. То се може постићи коришћењем услужне библиотеке коју користи ПЦ Доцтор под називом Цоммон.длл. Проблем лежи у начину на који се третира ова ДЛЛ датотека. Очигледно, програм не потврђује да ли је потписан ДЛЛ који ће се учитати. Омогућавање замене и компромитоване ДЛЛ датотеке да се покреће без потврде један је од најтежих безбедносних ризика.
Изненађујуће, осим рачунара, и други системи који се ослањају на ПЦ Доцтор као основу за сличне дијагностичке услуге такође могу бити рањиви. Неки од најпопуларнијих производа укључују Цорсаир Диагностицс, Стаплес ЕасиТецх дијагностику, Тобии И-Сериес дијагностички алат итд.
Ознаке Делл
