Millioner af Dell -pc'er, der kan angribes: patch nu - AnmeldelserExpert.net

OPDATERET med kommentar fra Dell og ekstra information fra SafeBreach.

Millioner af Dell-computere, der kører Windows, og muligvis mange flere computere fremstillet af andre mærker, er sårbare over for en fejl i deres interne system-sundhedssoftware, der kan lade hackere overtage maskinerne, ifølge en ny rapport fra Sunnyvale, Californien-baserede SafeBreach .

I Dell -maskiner kaldes softwaren SupportAssist. Det er lavet af PC-Doctor, en producent af hardware-diagnostik-software, der licenserer sin software til andre producenter af elektroniske enheder.

SafeBreach-forskerne sagde, at PC-Doctor nægtede at give dem en liste over sine andre klienter, men PC-Doctor-webstedet siger, at "førende producenter har installeret over 100 millioner eksemplarer af PC-Doctor til Windows på computersystemer verden over."

Dell og PC-Doctor har skubbet en firmwareopdatering ud, der løser dette problem, som du kan installere ved at følge instruktionerne på Dells supportside for SupportAssist-fejlen. Du skal dog muligvis vente på flere oplysninger om enheder fremstillet af andre licenshavere af PC-Doctor-software.

SupportAssist-funktionen er sårbar, fordi den ikke sikkert håndterer lagre med delt kode, kendt som DLL'er. For at undgå dobbeltarbejde gemmer moderne operativsystemer kodestykker, der bruges af mange programmer i almindelige lagre kaldet direkte linkbiblioteker, forkortet DLL'er i Windows eller dylibs i macOS.

Programmer indlæser DLL -filer, når de starter, men angribere kan sætte fælder ved at ødelægge eksisterende DLL'er eller erstatte ondsindede DLL -filer, som derefter injicerer ondsindet kode i programmer, der bruger disse DLL'er. De fleste programmer har måder at forhindre en sådan "DLL -indsprøjtning", men Dell SupportAssist gør det tydeligvis ikke, for det var sådan SafeBreach -forskerne var i stand til at angribe det.

Fordi SupportAssist kører som SYSTEM, har det meget dybe kroge i operativsystemet, og kapring af dets funktioner ville lade en angriber gøre stort set alt på maskinen - især fordi det er en "signeret" service, der er anerkendt som sikker af Microsoft.

Desværre skaber softwaren en åben dør for angribere, fordi den søger efter et par DLL'er, der ikke var på de Dell -maskiner, SafeBreach -teamet brugte: AlienFX.dll, atiadlxx.dll, atiadlxy.dll og LenovoInfo.dll.

Den sidste er interessant, fordi en Dell -maskine ikke bør indeholde en fil kaldet "LenovoInfo.dll". Det kan være et fingerpeg om identiteten af en af PC-Doctor's andre klienter. "AlienFX.dll" giver mere mening, fordi Dell ejer gaming-pc-maker Alienware.

På grund af at ingen af disse DLL'er faktisk eksisterede på testmaskinerne, lavede SafeBreach -forskerne simpelthen deres egne filer og gav dem navnene på de manglende filer. Se og se, Dell SupportAssist indlæste disse filer og kørte deres kode uden at kontrollere, hvem der lavede filerne, eller hvor de var placeret i systemet.

SafeBreach sagde, at Dell SupportAssist og formodentlig PC-Doctor kunne afhjælpe dette problem ved kun at tillade DLL'er, der var "underskrevet" af autoriserede softwareproducenter, og ved at begrænse søgninger efter DLL'er til kun de mapper, hvor specifikke DLL'er formodes at være.

SafeBreach rapporterede denne sårbarhed til Dell den 29. april, og Dell henviste den igen til PC-Doctor, som fik sårbarheden opført i den fælles sårbarhedsdatabase som CVE-2019-12280.

OPDATERING: Dell kontaktede Tom's Guide for at oplyse, at "Dell SupportAssist ikke er lavet af PC-Doctor. Sårbarheden opdaget af SafeBreach er en PC-Doctor-sårbarhed, som er en tredjepartskomponent, der leveres med Dell SupportAssist til pc'er."

"Mere end 90% af kunderne til dato har modtaget opdateringen, frigivet den 28. maj 2022-2023-2022 og er ikke længere i farezonen. Dell SupportAssist opdaterer automatisk, hvis automatiske opdateringer er aktiveret, og de fleste kunder har automatiske opdateringer slået til."

SafeBreach offentliggjorde en opdateret version af sine fund med oplysningerne om, at flere andre stykker software var sårbare: den førnævnte PC-Doctor Toolbox til Windows og andre versioner, som SafeBreach sagde var blevet "genmærket" som Corsair One Diagnostics, Corsair Diagnostics, Staples Easy Tech Diagnostics, Tobii I-Series Diagnostic Tool og Tobii Dynavox Diagnostic Tool.

Billedkredit: ReviewsExpert.netazine