Falhas no SupportAssist da DELL permite controle remoto da máquina. Duas falhas de alta gravidade na ferramenta de suporte ao cliente da Dell, o SupportAssist Client, podem permitir a execução remota de código (RCE) e ataques de falsificação de solicitações entre sites (CSRF).
O SupportAssist ajuda os usuários a remover vírus ou detectar problemas de segurança em seus PCs e vem pré-instalado na maioria dos novos dispositivos Dell.
“O Dell SupportAssist Client foi atualizado para resolver várias vulnerabilidades que podem ser potencialmente exploradas para comprometer o sistema”, de acordo com o alerta de segurança da Dell . Ambas as falhas afetam as versões do Dell SupportAssist Client anteriores a 3.2.0.90.
Vulnerabilidade de Execução Remota de Código (CVE-2019-3719)
A falha RCE ( CVE-2019-3719 ) tem uma pontuação CVSS de 8, tornando-a de alta severidade. Um invasor pode comprometer a vulnerabilidade enganando o usuário para que baixe e execute executáveis arbitrários através do seu cliente SupportAssist de sites hospedados pelo invasor, informou a Dell. Um invasor não autenticado poderia explorar a falha – mas precisaria compartilhar a camada de acesso à rede com o sistema vulnerável.
As versões do Dell SupportAssist Client anteriores a 3.2.0.90 contêm uma vulnerabilidade de execução remota de código. Um invasor não autenticado, compartilhando a camada de acesso à rede com o sistema vulnerável, pode comprometer o sistema vulnerável enganando o usuário vítima para fazer o download e executar executáveis arbitrários por meio do cliente SupportAssist de sites hospedados pelo invasor.
O pesquisador que descobriu a falha, Bill Demirkapi, de 17 anos, publicou a prova de conceito e uma demonstração (abaixo) do ataque .
Essencialmente, existe uma verificação de integridade importante no SupportAssist chamada ClientServiceHandler.ProcessRequest, que é onde o servidor verifica se as solicitações são realmente da Dell.
Isso permitiu que o Demirkapi “gerasse um nome de subdomínio aleatório e usasse uma máquina externa para o DNS [servidor de nome de domínio] – sequestraria a vítima. Então, quando a vítima solicita [random] .dell.com, nós respondemos com o nosso servidor ”, disse ele.
Isso significa que, se um usuário do sistema da Dell acessar um site mal-intencionado, o SupportAssist poderá ser induzido a baixar arquivos com malware e executá-los no dispositivo. Demirkapi disse que inicialmente notificou a Dell sobre a falha 26 de outubro de 2018. A falha foi corrigida em 18 de abril, e a divulgação pública do PoC foi divulgada na semana passada.
Validação de Origem Imprópria (CVE-2019-3718)
A vulnerabilidade de validação de origem imprópria ( CVE-2019-3718 ) com uma classificação de 8,8, tornando-a também uma vulnerabilidade de alta gravidade.
As versões do Dell SupportAssist Client anteriores a 3.2.0.90 contêm uma vulnerabilidade de validação de origem incorreta. Um invasor remoto não autenticado pode potencialmente explorar essa vulnerabilidade para tentar ataques CSRF aos usuários dos sistemas afetados.
O bug, descoberto por John C. Hennessy-ReCar, pode ser explorado por um invasor remoto não autenticado que pode lançar ataques CSRF nos usuários dos sistemas afetados. O CSRF permite que um invasor envie comandos mal-intencionados de um site para outro usando as credenciais de um usuário no qual o site de destino confia. Mais detalhes sobre a falha não foram disponibilizados.
Dell se isenta da responsabilidade
Em seu site, a Dell recomenda “que todos os usuários determinem a aplicabilidade dessas informações em suas situações individuais e tomem as medidas adequadas“, e Dell complementa dizendo que “as informações contidas são fornecidas “como estão” sem garantia de qualquer tipo.”
No entanto o texto segue com uma declaração de isenção de responsabilidade onde a Dell afirma que “se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização, adequação a uma finalidade específica, título e não violação. Em nenhum caso, a Dell ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, lucros cessantes ou especiais, mesmo que a Dell ou seus fornecedores tenham sido avisados da possibilidade de tais danos.”
Fonte: ThreatPost & Dell
Veja também:
- CrowdStrike aterriza no Brasil com o melhor Next Generation AV do mercado!
- CrowdStrike expande presença internacional para atender à crescente demanda do cliente
- Falha no software da SAP coloca em risco milhares de empresas
- Vazam dados financeiros da Oracle, Airbus, Toshiba e Volkswagen após ataque
- Cisco adverte sobre falha crítica no Nexus 9000 e outros equipamentos
- Docker sofre violação e 190k usuários são afetados
- MPDFT pede indenização de 10Milhões operadora de Bitcoins por vazamento de dados
- Complexidade das Senhas: É PRECISO SIMPLIFICAR!
- Marcus Hutchins, “herói” do WannaCry, se declara culpado pelo malware Kronos
- 60 Milhões registros do LinkedIn “aparecem” e “desaparecem” atualizados em diferentes IPs na Web
- MPDFT requisita que Vivo elabore DPIA sobre informações coletadas pelo Vivo Ads
- Facebook coleta emails de contatos de mais de 1,5Milhões de usuários sem consentimento
- Patch Tuesday de Abril da Microsoft Afeta McAfee, Sophos e Avast
- Amazon Alexa compartilha gravações de voz de usuários com milhares de “escutadores”
Deixe sua opinião!