Plusieurs nouveaux ordinateurs Dell sous Windows seront préinstallés avec SupportAssist, qui, selon le site Web de Dell, « fournit une technologie automatisée, proactive et prédictive qui réduit les étapes de dépannage et accélère votre temps de résolution. » Le seul problème de cette assistance qui permet de gagner du temps est qu’elle donne également aux pirates des privilèges d’administrateur de votre appareil.
Le nombre exact d’utilisateurs finaux affectés n’a pas été communiqué, mais l’application SupportAssist est préchargée sur tous les nouveaux ordinateurs Windows. Toute personne qui l’a encore en fonctionnement serait vulnérable à ce type d’attaque et doit mettre à jour son application immédiatement ou désinstaller complètement l’application Dell SupportAssist. La vulnérabilité est connue depuis octobre dernier, mais un patch vient d’être publié le 23 avril 2019. Les appareils que l’entreprise vend sans Windows ne sont pas affectés, puisque l’application n’est pas préinstallée.
Qu’est-ce que SupportAssist ? »
L’application SupportAssist de Dell est une solution de support automatisée pour les ordinateurs personnels, les tablettes, les périphériques de stockage, les serveurs et les périphériques réseau Dell. Il s’agit en fait de la première solution automatisée qui offre un support proactif et prédictif pour un appareil. Elle permet de prévenir les temps d’arrêt avant même qu’ils ne commencent en évaluant et en surveillant l’état de santé du périphérique ainsi que celui des serveurs et des périphériques de stockage. C’est une solution de support véritablement proactive et prédictive qui prévoit la solution requise par un appareil et offre une résolution des problèmes qui n’ont même pas fait surface.
Comment fonctionne l’attaque
Télé à Bill Demirkapi, un chercheur en sécurité de 17 ans qui a découvert la vulnérabilité de l’app SupportAssist et a informé Dell du bug il y a quelques mois. Il a publié un rapport complet sur la vulnérabilité sur son Github et une vidéo de démonstration de l’attaque.
L’attaque fonctionne en envoyant d’abord les utilisateurs vers une page web malveillante, que le SupportAssist de Dell est ensuite piégé pour télécharger et exécuter un malware sur les PC des utilisateurs.
SupportAssist s’exécute avec des privilèges administratifs par défaut, ce qui ne s’applique pas à la grande majorité des applications Windows. De ce fait, les attaquants peuvent obtenir des droits d’administration sur les PC des utilisateurs.
Les scénarios les plus probables dans lesquels l’attaquant peut exploiter la vulnérabilité de l’application à distance sont ceux où les victimes se trouvent sur un réseau Wi-Fi public ou un grand réseau d’entreprise, c’est-à-dire le Wi-Fi de votre Starbucks local, de votre lieu de travail ou de votre école.
De là, l’attaquant peut lancer des attaques par usurpation du protocole de résolution d’adresse, ce qui lui donne accès à des adresses IP légitimes au sein du réseau, ainsi que des attaques DNS. La sécurité du réseau, du système et des points d’extrémité est encore plus importante pour réduire les vulnérabilités découlant de la faille.
Comment Syxsense peut aider
Depuis février de cette année, Dell a publié des correctifs qui sont censés corriger la vulnérabilité découlant de la faille dans leur programme SupportAssist. Pour ceux qui n’ont pas de mises à jour automatiques de Dell SupportAssist ou qui ne sont pas en mesure de se mettre à jour vers Dell SupportAssist pour les PC professionnels version 2.1.4 ou Dell SupportAssist pour les PC domestiques version 3.4.1, Syxsense peut offrir quelques solutions pour remédier à la situation :
- Les requêtes d’inventaire peuvent aider à montrer instantanément quels appareils sont affectés parce qu’ils ont SupportAssist installé ou à vérifier lesquels sont sûrs parce qu’il ne l’est pas.
- La distribution de logiciels peut être exploitée pour désinstaller le logiciel Dell via l’installateur original ou via un script.
- Post-désinstallation, Syxsense peut revérifier que le logiciel n’existe plus.
- La fonction de contrôle à distance de Syxsense peut être exploitée pour vérifier que des comptes administrateurs supplémentaires n’ont pas été créés sur les différents points de terminaison.
- A l’aide de la sécurité des points de terminaison, tous les points d’entrée et les points de terminaison des appareils des utilisateurs finaux comme les ordinateurs portables, les ordinateurs de bureau, les tablettes et les appareils mobiles peuvent être sécurisés pour s’assurer que ces appareils ne permettent pas les attaques de SupportAssist sur le réseau ou les appareils des clients.
- La gestion des correctifs est une solution cruciale qui peut aider à résoudre les attaques Dell SupportAssist ou les menaces à forte notoriété similaires à celles posées par la faille SupportAssist de Dell. En fait, Dell a déjà résolu le problème grâce à une solution de gestion des correctifs, comme expliqué ci-dessus. Les correctifs qui corrigent les vulnérabilités découlant de la faille de la solution SupportAssist de Dell peuvent aider à prévenir l’apparition de tout problème ou menace de sécurité probable.