Muchos de los nuevos ordenadores Dell con Windows vendrán preinstalados con SupportAssist, que según el sitio web de Dell «proporciona una tecnología automatizada, proactiva y predictiva que reduce los pasos de solución de problemas y acelera su tiempo de resolución.» El único problema de este soporte que ahorra tiempo es que también está dando a los hackers privilegios de administrador de su dispositivo.
No se ha dado a conocer el número exacto de usuarios finales afectados, pero la aplicación SupportAssist viene precargada en todos los nuevos ordenadores con Windows. Cualquiera que aún la tenga en funcionamiento sería vulnerable a este tipo de ataque y necesita actualizar su aplicación de inmediato o desinstalar la aplicación Dell SupportAssist por completo. La vulnerabilidad se conoce desde octubre del año pasado, pero se acaba de lanzar un parche el 23 de abril de 2019. Los dispositivos que la compañía vende sin Windows no están afectados, ya que la app no viene preinstalada.
¿Qué es SupportAssist?
Dell’s SupportAssist es una solución de soporte automatizado para ordenadores personales, tabletas, dispositivos de almacenamiento, servidores y dispositivos de red de Dell. De hecho, es la primera solución automatizada que ofrece soporte proactivo y predictivo para un dispositivo. Ayuda a prevenir el tiempo de inactividad incluso antes de que haya comenzado, evaluando y supervisando el estado del dispositivo junto con el estado de los servidores y los dispositivos de almacenamiento. Es una solución de soporte verdaderamente proactiva y preventiva que predice la solución requerida por un dispositivo y ofrece la resolución de problemas que ni siquiera han surgido.
Cómo funciona el ataque
Hasta Bill Demirkapi, un investigador de seguridad de 17 años que descubrió la vulnerabilidad de la aplicación SupportAssist y notificó a Dell sobre el fallo hace unos meses. Publicó un informe completo de la vulnerabilidad en su Github y un vídeo de demostración del ataque.
El ataque funciona enviando primero a los usuarios a una página web maliciosa, con la que se engaña a SupportAssist de Dell para que descargue y ejecute malware en los PC de los usuarios.
SupportAssist se ejecuta con privilegios administrativos por defecto, algo que no ocurre con la gran mayoría de las aplicaciones de Windows. Debido a esto, los atacantes son capaces de obtener derechos administrativos en los PC de los usuarios.
Los escenarios más probables en los que el atacante puede explotar la vulnerabilidad de la aplicación de forma remota es cuando las víctimas están en una Wi-Fi pública o en una red de gran empresa, es decir, Wi-Fi en su Starbucks local, lugar de trabajo o escuela.
Desde allí, el atacante puede lanzar ataques de suplantación del Protocolo de Resolución de Direcciones, dándoles acceso a direcciones IP legítimas dentro de la red, así como ataques DNS. La seguridad de la red, del sistema y de los puntos finales es cada vez más importante para frenar las vulnerabilidades derivadas del fallo.
Cómo puede ayudar Syxsense
Desde febrero de este año, Dell emitió parches que supuestamente corrigen la vulnerabilidad derivada del fallo en su programa SupportAssist. Para aquellos que no tienen actualizaciones automáticas de Dell SupportAssist o que no pueden actualizar a la versión 2.1.4 de Dell SupportAssist para equipos empresariales o a la versión 3.4.1 de Dell SupportAssist para equipos domésticos, Syxsense puede ofrecer algunas soluciones para remediar la situación:
- Las consultas de inventario pueden ayudar a mostrar al instante qué dispositivos están afectados porque tienen SupportAssist instalado o verificar cuáles son seguros porque no lo está.
- La distribución de software puede aprovecharse para desinstalar el software de Dell a través del instalador original o mediante un script.
- Después de la desinstalación, Syxsense puede volver a verificar que el software ya no existe.
- La función de control remoto de Syxsense puede aprovecharse para verificar que no se han creado cuentas de administrador adicionales en los puntos finales individuales.
- Con la ayuda de la seguridad de los puntos finales, todos los puntos de entrada y los puntos finales de los dispositivos de los usuarios finales, como portátiles, ordenadores de sobremesa, tabletas y dispositivos móviles, pueden protegerse para garantizar que estos dispositivos no permiten los ataques de SupportAssist a la red o los dispositivos de los clientes.
- La gestión de parches es una solución crucial que puede ayudar a resolver los ataques SupportAssist de Dell o las amenazas de alto nivel similares a las que plantea el fallo SupportAssist de Dell. De hecho, Dell ya ha resuelto el problema mediante una solución de gestión de parches, como se ha explicado anteriormente. Los parches que corrigen las vulnerabilidades derivadas del fallo de la solución SupportAssist de Dell pueden ayudar a prevenir la aparición de cualquier problema o amenaza de seguridad probable.