ZAKTUALIZOWANO z komentarzem firmy Dell i dodatkowymi informacjami z SafeBreach.
Według nowego raportu firmy SafeBreach z Sunnyvale w Kalifornii, miliony komputerów Dell z systemem Windows i prawdopodobnie znacznie więcej komputerów innych marek są podatne na lukę w wewnętrznym oprogramowaniu do kontroli stanu systemu, która może pozwolić hakerom przejąć kontrolę nad maszynami. .
W komputerach Dell oprogramowanie nazywa się SupportAssist. Jego producentem jest PC-Doctor, producent oprogramowania do diagnostyki sprzętu, który licencjonuje swoje oprogramowanie innym producentom urządzeń elektronicznych.
Badacze SafeBreach powiedzieli, że PC-Doctor odmówił podania im listy swoich innych klientów, ale strona internetowa PC-Doctor stwierdza, że „wiodący producenci zainstalowali ponad 100 milionów kopii programu PC-Doctor dla Windows w systemach komputerowych na całym świecie”.
Firmy Dell i PC-Doctor wysłały aktualizację oprogramowania układowego, która rozwiązuje ten problem, którą można zainstalować, postępując zgodnie z instrukcjami na stronie pomocy technicznej firmy Dell dotyczącej usterki SupportAssist. Jednak może być konieczne poczekanie na więcej informacji dotyczących urządzeń wyprodukowanych przez innych licencjobiorców oprogramowania PC-Doctor.
Funkcja SupportAssist jest zagrożona, ponieważ nie obsługuje bezpiecznie repozytoriów kodu współużytkowanego znanych jako biblioteki DLL. Aby uniknąć duplikacji, nowoczesne systemy operacyjne przechowują fragmenty kodu używane przez wiele programów we wspólnych repozytoriach zwanych bibliotekami łączy bezpośrednich, w skrócie DLL w Windows lub dylibs w macOS.
Programy ładują pliki DLL podczas uruchamiania, ale atakujący mogą zastawiać pułapki, uszkadzając istniejące biblioteki DLL lub podmieniając złośliwe pliki DLL, które następnie wstrzykują złośliwy kod do programów korzystających z tych bibliotek DLL. Większość programów ma sposoby na zapobieganie takiemu „wstrzykiwaniu DLL”, ale Dell SupportAssist wyraźnie tego nie robi, ponieważ w ten sposób badacze SafeBreach byli w stanie go zaatakować.
Ponieważ SupportAssist działa jako SYSTEM, ma bardzo głębokie podpięcia do systemu operacyjnego, a przejęcie jego funkcji pozwoliłoby atakującemu na zrobienie praktycznie wszystkiego na komputerze - zwłaszcza, że jest to „podpisana” usługa uznawana przez Microsoft za bezpieczną.
Niestety, oprogramowanie tworzy otwarte drzwi dla atakujących, ponieważ wyszukuje kilka bibliotek DLL, których nie było na komputerach firmy Dell, z których korzystał zespół SafeBreach: AlienFX.dll, atiadlxx.dll, atiadlxx.dll i LenovoInfo.dll.
Ten ostatni jest interesujący, ponieważ komputer Dell nie powinien zawierać pliku o nazwie „LenovoInfo.dll”. To może być wskazówka dotycząca tożsamości jednego z pozostałych klientów PC-Doctora. Plik „AlienFX.dll” ma więcej sensu, ponieważ firma Dell jest właścicielem firmy Alienware, producenta komputerów do gier.
W każdym razie, ponieważ żadna z tych bibliotek DLL nie istniała na maszynach testowych, badacze SafeBreach po prostu utworzyli własne pliki i podali im nazwy brakujących plików. I oto, Dell SupportAssist załadował te pliki i uruchomił ich kod, bez sprawdzania, kto utworzył pliki lub gdzie się one znajdowały w systemie.
SafeBreach twierdzi, że Dell SupportAssist i prawdopodobnie PC-Doctor mogą złagodzić ten problem, zezwalając tylko na biblioteki DLL, które zostały „podpisane” przez autoryzowanych producentów oprogramowania, oraz ograniczając wyszukiwanie bibliotek DLL tylko do tych folderów, w których powinny znajdować się określone biblioteki DLL.
SafeBreach zgłosił tę lukę firmie Dell 29 kwietnia, a firma Dell z kolei skierowała ją do firmy PC-Doctor, która uzyskała lukę w powszechnej bazie danych luk jako CVE-2019-12280.
AKTUALIZACJA: Firma Dell skontaktowała się z Tom's Guide, aby stwierdzić, że „Dell SupportAssist nie jest tworzony przez PC-Doctor. Luka wykryta przez SafeBreach to podatność PC-Doctor, która jest składnikiem innej firmy dostarczanym z Dell SupportAssist dla komputerów PC”.
„Do tej pory ponad 90% klientów otrzymało aktualizację wydaną 28 maja 2022-2023–2022 r. i nie jest już zagrożona. Dell SupportAssist aktualizuje się automatycznie, jeśli są włączone aktualizacje automatyczne, a większość klientów ma włączone aktualizacje automatyczne”.
SafeBreach opublikował zaktualizowaną wersję swoich ustaleń z informacją, że kilka innych elementów oprogramowania jest podatnych na ataki: wspomniany PC-Doctor Toolbox dla Windows i inne wersje, które według SafeBreach zostały „przemianowane” na Corsair One Diagnostics, Corsair Diagnostics, Narzędzie diagnostyczne Staples Easy Tech, narzędzie diagnostyczne Tobii serii I oraz narzędzie diagnostyczne Tobii Dynavox.
Źródło obrazu: ReviewsExpert.netazine
Przewodnik po notebookach firmy Dell
- Poprzednia wskazówka
- Następna wskazówka
- Najlepsze laptopy i Chromebooki firmy Dell
- Zobacz, jak firma Dell wypada na tle innych marek laptopów
- Karta oceny i raportu pomocy technicznej firmy Dell
- Co obejmuje gwarancja firmy Dell?