Milhões de PCs Dell Windows precisam de patches

Milhões de PCs Dell Windows precisam de patches: Ameça de segurança Give-me-Admin é encontrado na ferramenta de suporte integrada SupportAssist.

O SupportAssist, um software de solução de problemas da Dell, empacotado em computadores domésticos e de negócios do gigante norte-americano, tem uma falha de segurança que pode ser explorada por malwares e usuários mal-intencionados para obter poderes de administrador.

A Dell divulgou ontem, dia 20 de junho, uma advertência de que sua ferramenta de reparo de PC sofre uma vulnerabilidade de escalonamento de privilégios, CVE-2019-12280, e precisa de correção.

As versões afetadas do software incluem os computadores Dell SupportAssist for Business versão 2.0 e Dell SupportAssist for Home PCs versão 3.2.1 e todas as versões anteriores.

As seguintes versões do Dell SupportAssist for Business Systems e do Dell SupportAssist for Home PC contém a solução para esta vulnerabilidade:

  • Dell SupportAssist for Business PCs versão 2.0.1
  • Dell SupportAssist for Home PCs versão 3.2.2

A Dell recomenda que todos os clientes atualizem na primeira oportunidade.

A Dell inclui o programa de solução de problemas baseado em Windows em novos desktops, notebooks e tablets. Infelizmente, como os pesquisadores do SafeBreach Labs descobriram e relataram em particular, o software inseguramente carrega arquivos .dll quando executado. 

O pesquisador Peleg Hadar disse ao The Register que o SupportAssist, que é executado com privilégios no nível do sistema, extrairá automaticamente bibliotecas de código não assinadas de pastas controladas pelo usuário. Isso significa que malwares ou usuários desonestos podem deixar seus próprios arquivos .dll em um caminho, esperar que o SupportAssist os carregue cegamente e, assim, executar código dentro de um contexto administrativo.

Isso permitiria que programas de software já em um computador, ou um insider desonesto logado, ganhasse controle total sobre uma caixa vulnerável. Isso também significa, digamos, explorações de navegador que podem soltar arquivos arbitrariamente em diretórios graváveis ​​pelo usuário, o que pode desencadear um comprometimento remoto em nível de administrador. Essa vulnerabilidade de injeção de .dll está presente em cerca de 100 milhões de PCs da Dell.

A função SupportAssist é vulnerável porque não manipula com segurança repositórios de código compartilhado conhecidos como DLLs. Para evitar a duplicação, os sistemas operacionais modernos armazenam pedaços de código usados ​​por muitos programas em repositórios comuns chamados bibliotecas de link direto, abreviadas como DLLs no Windows ou dylibs no macOS. Os programas carregam arquivos DLL quando são inicializados, mas os invasores podem definir armadilhas corrompendo as DLLs existentes ou substituindo os arquivos DLL maliciosos, que injetam códigos maliciosos em programas que usam essas DLLs.

A maioria dos programas tem maneiras de evitar essa “injeção de DLL”, mas o Dell SupportAssist claramente não o faz, porque é assim que os pesquisadores do SafeBreach conseguiram atacá-lo. Como o SupportAssist é executado como SYSTEM, ele tem ganchos muito profundos no sistema operacional, e o sequestro de suas funções permitiria que um invasor fizesse praticamente qualquer coisa na máquina – especialmente porque é um serviço “assinado” reconhecido como seguro pela Microsoft.

Não é a primeira vez

Não é a primeira vez que o SupportAssit apresenta problemas, em 13 de maio passado, publicamos aqui no Blog Minuto da Segurança que Falhas no SupportAssist da DELL permite controle remoto da máquina,

Duas falhas de alta gravidade na ferramenta de suporte ao cliente da Dell, o SupportAssist Client, podem permitir a execução remota de código (RCE) e ataques de falsificação de solicitações entre sites (CSRF).

A falha RCE ( CVE-2019-3719 ) tem uma pontuação CVSS de 8, tornando-a de alta severidade. Um invasor pode comprometer a vulnerabilidade enganando o usuário para que baixe e execute executáveis ​​arbitrários através do seu cliente SupportAssist de sites hospedados pelo invasor

A outra vulnerabilidade é de validação de origem imprópria ( CVE-2019-3718 ) com uma classificação de 8,8, tornando-a também uma vulnerabilidade de alta gravidade.

As versões do Dell SupportAssist Client anteriores a 3.2.0.90 contêm uma vulnerabilidade de validação de origem incorreta. Um invasor remoto não autenticado pode potencialmente explorar essa vulnerabilidade para tentar ataques CSRF aos usuários dos sistemas afetados.

A Dell não está sozinha 

Podemos supor que todos os PCs da Dell que executam o sistema operacional Windows sem alterações do fabricante estão vulneráveis, desde que o usuário não tenha atualizado“, disse Hadar ao The Register.

A parte mais preocupante desta história é que Hadar acredita que a Dell não está sozinha no envio de PCs com essa falha em particular.

Outros fabricantes poderão anunciar o mesmo problema nos próximos dias”

A razão para isso é que a Dell não faz o SupportAssist. O software em si é escrito e mantido pelo PC Doctor, um especialista em software de suporte e diagnóstico que vende seu código para fabricantes de PCs que, então, renomeiam as ferramentas e as agrupam em seus próprios produtos de computador.

Uma vez que encontramos e reportamos à Dell, eles informaram ao PC Doctor“, explicou Hadar. “Eles disseram que existem vários OEMs que são afetados por isso“.

De fato, o breve comunicado da Dell, que contém instruções sobre como corrigir, observou: “Os computadores Dell SupportAssist for Business e Dell SupportAssist for Home requerem uma atualização das versões mais recentes para solucionar uma vulnerabilidade de segurança dentro do componente PC Doctor.

Segundo o site Laptop Magazine, o SafeBreach disse que o Dell SupportAssist, e presumivelmente o PC-Doctor, poderia atenuar esse problema, permitindo apenas DLLs que foram “assinadas” por fabricantes de software autorizados e limitando buscas por DLLs apenas àquelas pastas onde DLLs específicas deveriam estar.

O SafeBreach reportou esta vulnerabilidade à Dell em 29 de abril, e a Dell a encaminhou para o PC-Doctor, que obteve a vulnerabilidade listada no banco de dados de vulnerabilidades comuns como CVE-2019-12280.

o Laptop Magazine afirma que a Dell entrou em contato com o site Tom’s Guide para afirmar que “o Dell SupportAssist não é feito pelo PC-Doctor. A vulnerabilidade descoberta pelo SafeBreach é uma vulnerabilidade do PC-Doctor, que é um componente de terceiros fornecido com o Dell SupportAssist para PCs“. “Mais de 90% dos clientes até hoje receberam a atualização, lançada em 28 de maio de 2019, e não estão mais em risco. O Dell SupportAssist atualiza automaticamente se as atualizações automáticas estiverem ativadas e a maioria dos clientes tiver atualizações automáticas ativadas.

O SafeBreach publicou uma versão atualizada de suas descobertas com a informação de que vários outros softwares eram vulneráveis: 

  • PC-Doctor Toolbox for Windows
  • Also re-branded as:
  • CORSAIR ONE Diagnostics
  • CORSAIR Diagnostics
  • Staples EasyTech Diagnostics
  • Tobii I-Series Diagnostic Tool
  • Tobii Dynavox Diagnostic Tool
Fonte: The Register & Dell & Laptop Magazine & SafeBreach

Veja também:

Sobre mindsecblog 1765 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

4 Trackbacks / Pingbacks

  1. Resgates de ransomwares movimentam o crime, quem não paga gasta milhões para recuperar - Minuto da Segurança da Informação
  2. Microsoft Outlook para Android vulnerável a ataques XSS
  3. Vulnerabilidade crítica no Kernel do Linux afeta Milhões de serviços
  4. 14º Relatório anual de segurança da Netscout traz dados sobre o Brasil

Deixe sua opinião!