Veel nieuwe Dell computers met Windows worden vooraf geïnstalleerd met SupportAssist, dat volgens de website van Dell “geautomatiseerde, proactieve en voorspellende technologie biedt die het aantal stappen voor probleemoplossing vermindert en uw oplossingstijd versnelt.” Het enige probleem met deze tijdbesparende ondersteuning is dat het hackers ook admin-rechten geeft op uw apparaat.
Het exacte aantal getroffen eindgebruikers is niet vrijgegeven, maar de SupportAssist-applicatie wordt vooraf geladen op alle nieuwe Windows-computers. Iedereen die deze nog heeft draaien, zou kwetsbaar zijn voor dit soort aanvallen en moet zijn applicatie meteen bijwerken of de Dell SupportAssist-applicatie volledig verwijderen. De kwetsbaarheid is al sinds oktober vorig jaar bekend, maar er is pas op 23 april 2019 een patch uitgebracht. Apparaten die het bedrijf verkoopt zonder Windows zijn niet getroffen, omdat de app niet voorgeïnstalleerd wordt geleverd.
Wat is SupportAssist?
Dell’s SupportAssist is een geautomatiseerde ondersteuningsoplossing voor Dell pc’s, tablets, opslagapparaten, servers en netwerkapparaten. Het is in feite de eerste geautomatiseerde oplossing die proactieve en voorspellende support biedt voor een apparaat. De oplossing helpt downtime voorkomen voordat deze zelfs maar is begonnen door de gezondheid van het apparaat samen met de gezondheid van de servers en opslagapparaten te evalueren en bewaken. Het is een echte proactieve en preventieve ondersteuningsoplossing die voorspelt welke oplossing een apparaat nodig heeft en oplossingen biedt voor problemen die nog niet eens zijn opgedoken.
Hoe de aanval werkt
H/T naar Bill Demirkapi, een 17-jarige beveiligingsonderzoeker die de kwetsbaarheid van de SupportAssist-app ontdekte en Dell een paar maanden geleden over de bug informeerde. Hij plaatste een volledig kwetsbaarheidsrapport op zijn Github en een demovideo van de aanval.
De aanval werkt door gebruikers eerst naar een kwaadaardige webpagina te sturen, die Dell’s SupportAssist vervolgens verleidt tot het downloaden en uitvoeren van malware op de pc’s van de gebruikers.
SupportAssist draait standaard met beheerdersrechten, iets dat niet geldt voor de overgrote meerderheid van Windows-applicaties. Hierdoor kunnen de aanvallers beheerdersrechten krijgen op de pc’s van de gebruikers.
De meest waarschijnlijke scenario’s waarin de aanvaller de kwetsbaarheid van de app op afstand kan uitbuiten, is wanneer de slachtoffers zich op een openbaar Wi-Fi- of groot bedrijfsnetwerk bevinden, d.w.z. Wi-Fi bij uw plaatselijke Starbucks, werkplek of school.
Van daaruit kan de aanvaller Address Resolution Protocol spoofing-aanvallen lanceren, waardoor hij toegang krijgt tot legitieme IP-adressen binnen het netwerk, evenals DNS-aanvallen. De beveiliging van netwerken, systemen en endpoints wordt steeds belangrijker om de kwetsbaarheden als gevolg van de fout te beperken.
Hoe Syxsense kan helpen
Sinds februari van dit jaar heeft Dell patches uitgegeven die naar verluidt de kwetsbaarheid als gevolg van de fout in hun SupportAssist-programma verhelpen. Voor degenen die geen automatische Dell SupportAssist-updates hebben of niet kunnen updaten naar Dell SupportAssist voor zakelijke pc’s versie 2.1.4 of Dell SupportAssist voor thuis-pc’s versie 3.4.1, kan Syxsense een paar oplossingen bieden om de situatie te verhelpen:
- Inventory Queries kunnen helpen om direct te laten zien welke apparaten zijn getroffen omdat ze SupportAssist hebben geïnstalleerd of te verifiëren welke veilig zijn omdat dat niet het geval is.
- Software Distribution kan worden gebruikt om de Dell-software via het oorspronkelijke installatieprogramma of via een script te verwijderen.
- Nadat de installatie is verwijderd, kan Syxsense opnieuw verifiëren dat de software niet langer bestaat.
- Syxsense’s Remote Control-functie kan worden benut om te verifiëren dat er geen extra admin-accounts zijn aangemaakt op de afzonderlijke eindpunten.
- Met behulp van endpoint security kunnen alle entry points en end points van eindgebruikersapparaten zoals laptops, desktops, tablets en mobiele apparaten worden beveiligd om ervoor te zorgen dat deze apparaten geen SupportAssist-aanvallen op het klantnetwerk of de apparaten toestaan.
- Patchbeheer is een cruciale oplossing die kan helpen bij het oplossen van de Dell SupportAssist-aanvallen of hooggewaardeerde bedreigingen die vergelijkbaar zijn met die van Dell’s SupportAssist-fout. Dell heeft het probleem in feite al opgelost via een patchbeheeroplossing, zoals hierboven is uitgelegd. Patches die de kwetsbaarheden verhelpen die het gevolg zijn van de fout in Dell’s SupportAssist-oplossing, kunnen het optreden van waarschijnlijke beveiligingsproblemen of bedreigingen helpen voorkomen.