Nếu bạn sử dụng máy tính Dell, thì hãy cẩn thận — tin tặc có thể xâm phạm hệ thống của bạn từ xa.
Bill Demirkapi, một nhà nghiên cứu bảo mật độc lập 17 tuổi, đã phát hiện ra một lỗ hổng thực thi mã từ xa nghiêm trọng trong tiện ích Dell SupportAssist được cài đặt sẵn trên hầu hết các máy tính Dell.
Hỗ trợ của DellHỗ trợđược biết đến trước đây như Phát hiện hệ thống Dellkiểm tra tình trạng phần cứng và phần mềm của hệ thống máy tính của bạn.
Tiện ích đã được thiết kế để tương tác với trang web Hỗ trợ của Dell và tự động phát hiện Thẻ dịch vụ hoặc Mã dịch vụ nhanh của sản phẩm Dell của bạn, quét các trình điều khiển thiết bị hiện có và cài đặt các bản cập nhật trình điều khiển bị thiếu hoặc có sẵn, cũng như thực hiện các kiểm tra chẩn đoán phần cứng.
Nếu bạn đang tự hỏi nó hoạt động như thế nào, thì Dell SupportAssist trong nền sẽ chạy một máy chủ web cục bộ trên hệ thống người dùng, trên cổng 8884, 8883, 8886 hoặc cổng 8885 và chấp nhận các lệnh khác nhau dưới dạng tham số URL để thực hiện một số tác vụ được xác định trước trên máy tính, chẳng hạn như thu thập thông tin hệ thống chi tiết hoặc tải xuống phần mềm từ máy chủ từ xa và cài đặt phần mềm đó trên hệ thống.
Mặc dù dịch vụ web cục bộ đã được bảo vệ bằng cách sử dụng tiêu đề phản hồi “Kiểm soát truy cập-Cho phép-Xuất xứ” và có một số xác thực hạn chế nó chỉ chấp nhận các lệnh từ trang web “dell.com” hoặc tên miền phụ của nó, Demirkapi đã giải thích các cách để bỏ qua những điều này bảo vệ trong một bài đăng trên blog được xuất bản vào thứ Tư.
Như trong video, Demirkapi đã chứng minh [PoC code] làm thế nào tin tặc từ xa có thể dễ dàng tải xuống và cài đặt phần mềm độc hại từ một máy chủ từ xa trên các máy tính Dell bị ảnh hưởng để có toàn quyền kiểm soát chúng.
“Kẻ tấn công không được xác thực, chia sẻ lớp truy cập mạng với hệ thống dễ bị tấn công, có thể xâm phạm hệ thống dễ bị tấn công bằng cách lừa người dùng nạn nhân tải xuống và thực thi các tệp thực thi tùy ý thông qua ứng dụng khách SupportAssist từ các trang web được lưu trữ bởi kẻ tấn công,” công ty công nghệ máy tính đa quốc gia Dell cho biết trong một khuyến cáo.
Lỗ hổng thực thi mã từ xa, được xác định là CVE-2019-3719, ảnh hưởng đến các phiên bản Máy khách Dell SupportAssist trước phiên bản 3.2.0.90.
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Trước khi công khai các chi tiết về lỗ hổng bảo mật, nhà nghiên cứu đã báo cáo một cách có trách nhiệm những phát hiện của mình cho nhóm bảo mật của Dell, nhóm hiện đã phát hành phiên bản cập nhật của phần mềm bị ảnh hưởng để giải quyết vấn đề.
Bên cạnh vấn đề này, Dell cũng đã vá lỗ hổng xác thực nguồn gốc không phù hợp (CVE-2019-3718) trong phần mềm SupportAssist có thể cho phép kẻ tấn công từ xa, không được xác thực thực hiện các cuộc tấn công CSRF trên hệ thống của người dùng.
Người dùng Dell nên cài đặt bản cập nhật Dell SupportAssist 3.2.0.90 trở lên hoặc chỉ cần gỡ cài đặt ứng dụng hoàn toàn, nếu không cần thiết, trước khi tin tặc cố gắng khai thác các điểm yếu để kiểm soát hoàn toàn hệ thống máy tính của họ.
