Viele neue Dell-Computer mit Windows werden mit SupportAssist vorinstalliert, das laut Dells Website „automatisierte, proaktive und vorausschauende Technologie bietet, die Schritte zur Fehlerbehebung reduziert und Ihre Lösungszeit beschleunigt.“ Das einzige Problem bei dieser zeitsparenden Unterstützung ist, dass sie Hackern auch Administratorrechte für Ihr Gerät einräumt.
Die genaue Zahl der betroffenen Endbenutzer wurde nicht bekannt gegeben, aber die SupportAssist-Anwendung ist auf allen neuen Windows-Computern vorinstalliert. Jeder, der sie noch im Einsatz hat, ist für diese Art von Angriff anfällig und muss seine Anwendung sofort aktualisieren oder die Dell SupportAssist-Anwendung komplett deinstallieren. Die Sicherheitslücke ist bereits seit Oktober letzten Jahres bekannt, ein Patch wurde jedoch erst am 23. April 2019 veröffentlicht. Geräte, die das Unternehmen ohne Windows verkauft, sind nicht betroffen, da die App nicht vorinstalliert ist.
Was ist SupportAssist?
Dell’s SupportAssist ist eine automatisierte Support-Lösung für Dell PCs, Tablets, Speichergeräte, Server und Netzwerkgeräte. Es handelt sich um die erste automatisierte Lösung, die proaktiven und vorausschauenden Support für ein Gerät bietet. Sie trägt dazu bei, Ausfallzeiten zu verhindern, bevor sie überhaupt begonnen haben, indem sie den Gerätezustand zusammen mit dem Zustand der Server und Speichergeräte bewertet und überwacht. Es handelt sich um eine wirklich proaktive und vorausschauende Support-Lösung, die die von einem Gerät benötigte Lösung vorhersagt und Lösungen für Probleme anbietet, die noch gar nicht aufgetreten sind.
Wie der Angriff funktioniert
H/T zu Bill Demirkapi, einem 17-jährigen Sicherheitsforscher, der die Schwachstelle in der SupportAssist-App entdeckte und Dell vor ein paar Monaten über den Fehler informierte. Er hat auf Github einen vollständigen Bericht über die Schwachstelle und ein Demo-Video des Angriffs veröffentlicht.
Der Angriff funktioniert, indem Benutzer zunächst auf eine bösartige Webseite geleitet werden, die Dell SupportAssist dann dazu bringt, Malware auf die PCs der Benutzer herunterzuladen und auszuführen.
SupportAssist wird standardmäßig mit administrativen Rechten ausgeführt, was für die große Mehrheit der Windows-Anwendungen nicht gilt. Aus diesem Grund können die Angreifer administrative Rechte auf den PCs der Benutzer erlangen.
Die wahrscheinlichsten Szenarien, in denen der Angreifer die Schwachstelle der App aus der Ferne ausnutzen kann, sind, wenn sich die Opfer in einem öffentlichen Wi-Fi oder einem großen Unternehmensnetzwerk befinden, d. h. im Wi-Fi bei Starbucks, am Arbeitsplatz oder in der Schule.
Von dort aus kann der Angreifer Address Resolution Protocol-Spoofing-Angriffe starten, die ihm Zugriff auf legitime IP-Adressen innerhalb des Netzwerks geben, sowie DNS-Angriffe. Netzwerk-, System- und Endpunktsicherheit werden immer wichtiger, um die durch den Fehler entstehenden Schwachstellen einzudämmen.
Wie Syxsense helfen kann
Seit Februar dieses Jahres hat Dell Patches herausgegeben, die angeblich die durch den Fehler entstehende Schwachstelle in ihrem SupportAssist-Programm beheben. Für diejenigen, die nicht über automatische Dell SupportAssist-Updates verfügen oder nicht in der Lage sind, auf Dell SupportAssist für Business-PCs Version 2.1.4 oder Dell SupportAssist für Home-PCs Version 3.4.1 zu aktualisieren, kann Syxsense einige Lösungen anbieten, um Abhilfe zu schaffen:
- Inventarabfragen können dabei helfen, sofort zu zeigen, welche Geräte betroffen sind, weil sie SupportAssist installiert haben, oder zu überprüfen, welche sicher sind, weil es nicht installiert ist.
- Die Softwareverteilung kann genutzt werden, um die Dell-Software über das ursprüngliche Installationsprogramm oder über ein Skript zu deinstallieren.
- Nach der Deinstallation kann Syxsense erneut überprüfen, dass die Software nicht mehr existiert.
- Die Fernsteuerungsfunktion von Syxsense kann genutzt werden, um zu überprüfen, dass auf den einzelnen Endpunkten keine zusätzlichen Administratorkonten erstellt wurden.
- Mit Hilfe der Endpunktsicherheit können alle Eingangs- und Endpunkte von Endbenutzergeräten wie Laptops, Desktops, Tablets und mobilen Geräten gesichert werden, um sicherzustellen, dass diese Geräte keine SupportAssist-Angriffe auf das Client-Netzwerk oder die Geräte zulassen.
- Die Patch-Verwaltung ist eine wichtige Lösung, die dazu beitragen kann, die Dell SupportAssist-Angriffe oder hochgradige Bedrohungen zu beheben, die mit der SupportAssist-Schwachstelle von Dell vergleichbar sind. Tatsächlich hat Dell das Problem, wie oben erläutert, bereits durch eine Patch-Management-Lösung gelöst. Patches, die die Schwachstellen in der Dell SupportAssist-Lösung beheben, können dazu beitragen, mögliche Sicherheitsprobleme oder Bedrohungen zu verhindern.