Máy tính Dell trở thành nạn nhân của các cuộc tấn công RCE bởi các lỗ hổng trong SupportAssist

Dell gần đây đã lặng lẽ phát hành bản cập nhật bảo mật mới để vá lỗ hổng phần mềm SupportAssist Client, có khả năng cho phép kẻ tấn công không xác thực trên cùng một lớp Network Access bằng cách sử dụng phần mềm độc hại từ các đặc quyền tùy ý trên máy tính của nạn nhân.

Theo thông tin được liệt kê trên trang web của Dell, phần mềm SupportAssist được "cài đặt sẵn trên hầu hết các thiết bị Dell mới chạy hệ điều hành Windows" và nó "được thiết kế để chủ động kiểm tra sức khỏe của hệ thống bộ phận. Khi phát hiện sự cố. , thông tin trạng thái hệ thống cần thiết sẽ được gửi tới Dell để nhà sản xuất có thể bắt đầu phân tích và đưa ra các biện pháp khắc phục.

• Phần mềm độc hại được lưu trữ trong Trang web Google sẽ gửi dữ liệu đến máy chủ MySQL

Về cơ bản, SupportAssist là một phần mềm cực kỳ hữu ích, thể hiện sự quan tâm chu đáo của Dell đối với chính sách chăm sóc khách hàng. Tuy nhiên, công cụ này chứa một lỗ hổng khiến nó vô tình trở thành một trạm "trung tâm" độc hại, khiến người dùng máy tính Dell dễ dàng trở thành nạn nhân của các cuộc tấn công RCE.

Hầu hết các máy tính Dell mới đều có nguy cơ bị tấn công RCE

Theo lời giải thích từ Dell, "những kẻ tấn công không được xác thực đầu tiên sẽ chia sẻ các lớp truy cập mạng với các hệ thống dễ bị tấn công, sau đó lấy quyền thực thi từ xa trên hệ thống Vulnerable bằng cách lừa người dùng (nạn nhân) để tải xuống và thực thi các lệnh thực thi tùy ý thông qua ứng dụng khách SupportAssist từ kẻ tấn công & # 39 ; trang web ".

Lỗ hổng phần mềm được theo dõi này có số nhận dạng CVE-2019-3719 và đi kèm với mức độ nghiêm trọng cao là 8.0 theo xếp hạng CVSSv3 do Cơ sở dữ liệu dễ bị tổn thương quốc gia (NVD), Hoa Kỳ.

Trên thực tế, Dell đã vá phần mềm SupportAssist vào cuối tháng 4 sau khi nhận được báo cáo về lỗ hổng được gửi từ nhà nghiên cứu bảo mật 17 tuổi Bill Demirkapi vào ngày 10 tháng 10 năm 2018.

• Apple cập nhật XProtect để chặn & # 39; Windows & # 39; phần mềm độc hại trên máy Mac

Ngoài ra, Dell không quên khuyến nghị tất cả khách hàng của mình cập nhật ClientAssist Client càng sớm càng tốt, vì tất cả các phiên bản trước 3.2.0.90 trở lên đều có khả năng trở thành nạn nhân của các cuộc tấn công. công cụ thực thi mã từ xa (RCE).

Lỗ hổng xác thực gốc không chính xác cũng đã được vá

Trong một động thái liên quan, Dell cũng đã thực hiện một lỗi xác thực gốc không đúng trong phần mềm ClientAssist Client được báo cáo bởi nhà nghiên cứu bảo mật John C. Hennessy-ReCar, theo sau là một định danh CVE – 2019-3718 và đi kèm với mức độ nghiêm trọng CVSS v3.0 8.8.

Dell cho biết trong cùng một khuyến nghị bảo mật rằng "những kẻ tấn công từ xa không được xác thực có khả năng khai thác lỗ hổng này để cố gắng thực hiện các cuộc tấn công CSRF nhắm vào người dùng hệ thống.

Khách hàng muốn tự bảo vệ mình khỏi các cuộc tấn công tiềm năng đang cố gắng khai thác lỗ hổng phần mềm này được khuyến khích cập nhật ứng dụng SupportAssist lên phiên bản mới nếu họ đang sử dụng các phiên bản trước 3.2.0.90.

Nhà nghiên cứu bảo mật Bill Demirkapi đã phát hiện ra rằng lỗ hổng RCE này hoàn toàn có thể bị những kẻ tấn công khai thác bằng cách sử dụng các cuộc tấn công giả mạo ARP và DNS để truyền tải trọng RCE đến máy tính Dell của nạn nhân. .

• Công ty dịch vụ CNTT lớn nhất Ấn Độ đã bị tin tặc tấn công

Bill Demirkapi sau đó đã đưa ra một mô tả kỹ thuật chi tiết về các bước ông đã thực hiện để khám phá lỗ hổng phần mềm và bằng chứng về khái niệm RCE của RC SupportAssist. Ngoài ra, tin tặc này cũng đã xuất bản một video demo trên YouTube nêu chính xác quy trình:

• Các chiến dịch quảng cáo độc hại lạm dụng Chrome để đánh cắp 500 triệu phiên người dùng iOS

Đây không phải là lần đầu tiên phần mềm của Dell được phát hiện có chứa các lỗ hổng dễ bị tổn thương để thực hiện các cuộc tấn công thực thi mã từ xa. Trước đây, một lỗ hổng bảo mật tương tự đã được tìm thấy bởi nhà nghiên cứu bảo mật Tom Forbes trong chương trình Phát hiện hệ thống Dell năm 2015. Vào thời điểm đó, Forbes nói rằng lỗ hổng này đã "cho phép kẻ tấn công kích hoạt". Chương trình nhằm mục đích tải xuống và thực thi một tệp tùy ý mà không có bất kỳ tương tác người dùng nào. "