Molti nuovi computer Dell con Windows sono preinstallati con SupportAssist, che secondo il sito web della Dell “fornisce una tecnologia automatizzata, proattiva e predittiva che riduce le fasi di risoluzione dei problemi e accelera il tempo di risoluzione”. L’unico problema con questo supporto per risparmiare tempo è che sta anche dando agli hacker i privilegi di amministratore per il vostro dispositivo.
Il numero esatto di utenti finali interessati non è stato rilasciato, ma l’applicazione SupportAssist viene precaricata su tutti i nuovi computer Windows. Chiunque lo abbia ancora in esecuzione sarebbe vulnerabile a questo tipo di attacco e ha bisogno di aggiornare la propria applicazione subito o disinstallare completamente l’applicazione Dell SupportAssist. La vulnerabilità è nota da ottobre dello scorso anno, ma una patch è stata appena rilasciata il 23 aprile 2019. I dispositivi che l’azienda vende senza Windows non sono interessati, poiché l’app non viene preinstallata.
Che cos’è SupportAssist?
Dell’s SupportAssist è una soluzione di supporto automatico per personal computer, tablet, dispositivi di archiviazione, server e dispositivi di rete Dell. Infatti è la prima soluzione automatizzata che offre un supporto proattivo e predittivo per un dispositivo. Aiuta a prevenire i tempi di inattività prima ancora che siano iniziati, valutando e monitorando la salute del dispositivo insieme a quella dei server e dei dispositivi di archiviazione. È una soluzione di supporto veramente proattiva e preventiva che prevede la soluzione richiesta da un dispositivo e offre la risoluzione di problemi che non sono nemmeno emersi.
Come funziona l’attacco
H/T a Bill Demirkapi, un ricercatore di sicurezza di 17 anni che ha scoperto la vulnerabilità dell’app SupportAssist e ha notificato Dell sul bug alcuni mesi fa. Ha pubblicato un rapporto completo sulla vulnerabilità sul suo Github e un video dimostrativo dell’attacco.
L’attacco funziona prima inviando gli utenti a una pagina web dannosa, che SupportAssist di Dell viene poi ingannato per scaricare ed eseguire malware sul PC degli utenti.
SupportAssist viene eseguito con privilegi amministrativi per impostazione predefinita, qualcosa che non si applica alla stragrande maggioranza delle applicazioni Windows. A causa di questo, gli aggressori sono in grado di ottenere diritti amministrativi sui PC degli utenti.
Gli scenari più probabili in cui l’aggressore può sfruttare la vulnerabilità dell’applicazione da remoto è quando le vittime sono su un Wi-Fi pubblico o su una grande rete aziendale, cioè il Wi-Fi del vostro Starbucks locale, sul posto di lavoro o a scuola.
Da lì, l’aggressore può lanciare attacchi di spoofing di Address Resolution Protocol, dando loro accesso a indirizzi IP legittimi all’interno della rete, così come attacchi DNS. La sicurezza della rete, dei sistemi e degli endpoint è sempre più importante per arginare le vulnerabilità derivanti dalla falla.
Come Syxsense può aiutare
A partire da febbraio di quest’anno, Dell ha rilasciato delle patch che si dice risolvano la vulnerabilità derivante dalla falla nel loro programma SupportAssist. Per coloro che non hanno aggiornamenti automatici di Dell SupportAssist o non sono in grado di aggiornare a Dell SupportAssist per PC aziendali versione 2.1.4 o Dell SupportAssist per PC domestici versione 3.4.1, Syxsense può offrire alcune soluzioni per rimediare alla situazione:
- Inventory Queries può aiutare a mostrare immediatamente quali dispositivi sono interessati perché hanno SupportAssist installato o verificare quali sono sicuri perché non lo sono.
- La distribuzione del software può essere sfruttata per disinstallare il software Dell tramite il programma di installazione originale o tramite uno script.
- Post-disinstallazione, Syxsense può verificare nuovamente che il software non esista più.
- La funzione di controllo remoto di Syxsense può essere sfruttata per verificare che non siano stati creati account admin aggiuntivi sui singoli endpoint.
- Con l’aiuto della sicurezza degli endpoint, tutti i punti di ingresso e i punti finali dei dispositivi degli utenti finali come computer portatili, desktop, tablet e dispositivi mobili possono essere protetti per garantire che questi dispositivi non consentano attacchi di SupportAssist alla rete o ai dispositivi client.
- La gestione delle patch è una soluzione cruciale che può aiutare a risolvere gli attacchi Dell SupportAssist o le minacce di alto livello simili a quelle poste dalla falla SupportAssist di Dell. Infatti Dell ha già risolto il problema attraverso una soluzione di gestione delle patch, come spiegato sopra. Le patch che correggono le vulnerabilità derivanti dalla falla nella soluzione SupportAssist di Dell possono aiutare a prevenire il verificarsi di qualsiasi probabile problema di sicurezza o minaccia.