Sok új Dell számítógépen, amelyen Windows fut, előre telepítve lesz a SupportAssist, amely a Dell honlapja szerint “automatizált, proaktív és előrejelző technológiát biztosít, amely csökkenti a hibaelhárítási lépéseket és felgyorsítja a megoldási időt”. Az egyetlen probléma ezzel az időtakarékos támogatással az, hogy egyben adminisztrátori jogosultságokat is ad a hackereknek a készülékhez.
Az érintett végfelhasználók pontos számát nem hozták nyilvánosságra, de a SupportAssist alkalmazás minden új Windows számítógépen előre telepítve van. Akinél ez még fut, az sebezhető az ilyen jellegű támadással szemben, és azonnal frissítenie kell az alkalmazást, vagy teljesen eltávolítani a Dell SupportAssist alkalmazást. A sebezhetőség már tavaly október óta ismert, de a javítást csak 2019. április 23-án adták ki. A vállalat által Windows nélkül értékesített eszközök nem érintettek, mivel az alkalmazás nem kerül előtelepítésre.
Mi a SupportAssist?
A Dell SupportAssist egy automatizált támogatási megoldás Dell személyi számítógépekhez, táblagépekhez, tárolóeszközökhöz, szerverekhez és hálózati eszközökhöz. Valójában ez az első olyan automatizált megoldás, amely proaktív és előrejelző támogatást nyújt egy eszközhöz. Segít megelőzni az állásidőt, még mielőtt az elkezdődne, azáltal, hogy a szerverek és tárolóeszközök állapotával együtt értékeli és felügyeli az eszköz állapotát. Ez egy valóban proaktív és megelőző támogatási megoldás, amely előre jelzi az eszköz által igényelt megoldást, és megoldást kínál olyan problémákra, amelyek még fel sem merültek.”
Hogyan működik a támadás
H/T Bill Demirkapi, egy 17 éves biztonsági kutatónak, aki felfedezte a SupportAssist alkalmazás sebezhetőségét, és néhány hónappal ezelőtt értesítette a Dell-t a hibáról. A Githubon közzétette a teljes sebezhetőségi jelentést és egy demóvideót a támadásról.
A támadás úgy működik, hogy a felhasználókat először egy rosszindulatú weboldalra küldi, amelyet a Dell SupportAssist ráveszi, hogy töltsön le és futtasson rosszindulatú programot a felhasználók számítógépén.
A SupportAssist alapértelmezés szerint rendszergazdai jogosultságokkal fut, ami a Windows-alkalmazások túlnyomó többségére nem vonatkozik. Emiatt a támadók rendszergazdai jogokat szerezhetnek a felhasználók PC-jén.
A legvalószínűbb forgatókönyvek, amelyekben a támadó távolról kihasználhatja az alkalmazás sebezhetőségét, amikor az áldozatok nyilvános Wi-Fi vagy nagyvállalati hálózaton vannak, azaz a helyi Starbucks, munkahely vagy iskola Wi-Fi hálózatán.
A támadók onnan Address Resolution Protocol spoofing támadásokat indíthatnak, így hozzáférhetnek a hálózaton belüli legitim IP-címekhez, valamint DNS-támadásokat is indíthatnak. A hálózat-, rendszer- és végpontbiztonság egyre fontosabb a hibából eredő sebezhetőségek megfékezésében.
Hogyan segíthet a Syxsense
A Dell idén februárban olyan javításokat adott ki, amelyek állítólag javítják a hibából eredő sebezhetőséget a SupportAssist programjában. Azok számára, akik nem rendelkeznek automatikus Dell SupportAssist frissítésekkel, vagy nem tudnak frissíteni a Dell SupportAssist for business PCs 2.1.4-es verziójára vagy a Dell SupportAssist for home PCs 3.4.1-es verziójára, a Syxsense néhány megoldást kínál a helyzet orvoslására:
- A leltárlekérdezés segíthet abban, hogy azonnal megmutassa, mely eszközök érintettek, mert telepítve van a SupportAssist, vagy ellenőrizze, melyek biztonságosak, mert nem az.
- A szoftverelosztás kihasználható a Dell-szoftver eltávolítására az eredeti telepítőprogramon vagy egy szkript segítségével.
- Az eltávolítás után a Syxsense újra ellenőrizheti, hogy a szoftver már nem létezik.
- A Syxsense távvezérlési funkciója kihasználható annak ellenőrzésére, hogy az egyes végpontokon nem hoztak létre további adminfiókokat.
- A végpontbiztonság segítségével a végfelhasználói eszközök, például laptopok, asztali számítógépek, táblagépek és mobileszközök összes belépési és végpontja biztosítható annak érdekében, hogy ezek az eszközök ne tegyék lehetővé a SupportAssist támadásait az ügyfélhálózat vagy az eszközök számára.
- A javításkezelés olyan kulcsfontosságú megoldás, amely segíthet a Dell SupportAssist-támadások vagy a Dell SupportAssist hibájához hasonló, magasra értékelt fenyegetések elhárításában. Valójában a Dell már megoldotta a problémát egy javításkezelési megoldással, amint azt fentebb kifejtettük. A Dell SupportAssist megoldásának hibájából eredő sebezhetőségeket javító javítások segíthetnek megelőzni a valószínűsíthető biztonsági problémák vagy fenyegetések előfordulását.