Wiele nowych komputerów Dell z systemem Windows będzie dostarczanych z preinstalowanym SupportAssist, który zgodnie z witryną firmy Dell „zapewnia zautomatyzowaną, proaktywną i predykcyjną technologię, która redukuje etapy rozwiązywania problemów i przyspiesza czas rozwiązywania problemów”. Jedynym problemem z tego wsparcia oszczędzającego czas jest to, że jest to również dając hakerom uprawnienia administratora do urządzenia.
Dokładna liczba dotkniętych użytkowników końcowych nie została wydana, ale aplikacja SupportAssist przychodzi preinstalowany na wszystkich nowych komputerów z systemem Windows. Każdy, kto nadal ma ją uruchomioną, będzie podatny na tego typu atak i musi natychmiast zaktualizować swoją aplikację lub całkowicie odinstalować aplikację Dell SupportAssist. Luka znana jest od października zeszłego roku, ale łatka została wydana właśnie 23 kwietnia 2019 roku. Urządzenia sprzedawane przez firmę bez systemu Windows nie są zagrożone, ponieważ aplikacja nie jest preinstalowana.
Czym jest SupportAssist?
Dell’s SupportAssist to zautomatyzowane rozwiązanie pomocy technicznej dla komputerów osobistych, tabletów, urządzeń pamięci masowej, serwerów i urządzeń sieciowych firmy Dell. W rzeczywistości jest to pierwsze zautomatyzowane rozwiązanie oferujące proaktywną i predykcyjną pomoc techniczną dla urządzenia. Pomaga ono zapobiegać przestojom, zanim jeszcze się rozpoczną, oceniając i monitorując stan urządzenia oraz stan serwerów i urządzeń pamięci masowej. Jest to prawdziwie proaktywne i wyprzedzające rozwiązanie wsparcia technicznego, które przewiduje rozwiązania wymagane przez urządzenie i oferuje rozwiązanie problemów, które nawet się nie pojawiły.
Jak działa atak
H/T to Bill Demirkapi, 17-letni badacz bezpieczeństwa, który odkrył lukę w aplikacji SupportAssist i powiadomił o niej firmę Dell kilka miesięcy temu. Na swoim Githubie zamieścił pełny raport o luce oraz film demonstracyjny ataku.
Atak działa poprzez wysłanie użytkowników na złośliwą stronę internetową, z której aplikacja Dell’s SupportAssist jest następnie podstępnie pobierana i uruchamiana na komputerach użytkowników.
SupportAssist domyślnie działa z uprawnieniami administracyjnymi, co nie dotyczy zdecydowanej większości aplikacji Windows. Z tego powodu atakujący są w stanie uzyskać prawa administratora na komputerach użytkowników.
Najbardziej prawdopodobne scenariusze, w których atakujący może zdalnie wykorzystać lukę w aplikacji, to takie, w których ofiary znajdują się w publicznej sieci Wi-Fi lub dużej sieci korporacyjnej, np. Wi-Fi w lokalnym Starbucksie, miejscu pracy lub szkole.
Stamtąd atakujący może przeprowadzić ataki spoofingu Address Resolution Protocol, dające mu dostęp do legalnych adresów IP w sieci, a także ataki DNS. Bezpieczeństwo sieci, systemu i punktów końcowych jest coraz ważniejsze w ograniczaniu luk wynikających z tej luki.
Jak Syxsense może pomóc
Od lutego tego roku firma Dell wydała poprawki, które rzekomo naprawiają lukę wynikającą z tej luki w ich programie SupportAssist. Osobom, które nie mają automatycznych aktualizacji programu Dell SupportAssist lub nie są w stanie zaktualizować go do wersji 2.1.4 programu Dell SupportAssist dla komputerów biznesowych lub 3.4.1 programu Dell SupportAssist dla komputerów domowych, firma Syxsense może zaoferować kilka rozwiązań, które pozwolą naprawić sytuację:
- Kwerendy inwentaryzacyjne mogą pomóc w natychmiastowym wskazaniu, które urządzenia są zagrożone, ponieważ mają zainstalowany program SupportAssist, lub zweryfikowaniu, które są bezpieczne, ponieważ go nie mają.
- Dystrybucja oprogramowania może zostać wykorzystana do odinstalowania oprogramowania Dell za pomocą oryginalnego instalatora lub skryptu.
- Po odinstalowaniu Syxsense może ponownie zweryfikować, czy oprogramowanie już nie istnieje.
- Funkcja zdalnej kontroli programu Syxsense może zostać wykorzystana do sprawdzenia, czy na poszczególnych punktach końcowych nie zostały utworzone dodatkowe konta administratorów.
- Z pomocą zabezpieczeń punktów końcowych można zabezpieczyć wszystkie punkty wejścia i punkty końcowe urządzeń użytkowników końcowych, takich jak laptopy, komputery stacjonarne, tablety i urządzenia mobilne, aby mieć pewność, że urządzenia te nie pozwolą na ataki SupportAssist na sieć lub urządzenia klienckie.
- Zarządzanie łatkami jest kluczowym rozwiązaniem, które może pomóc w rozwiązaniu ataków Dell SupportAssist lub wysoko ocenianych zagrożeń podobnych do tych, jakie stwarza usterka SupportAssist firmy Dell. W rzeczywistości firma Dell rozwiązała już ten problem za pomocą rozwiązania do zarządzania łatami, jak wyjaśniono powyżej. Łaty usuwające luki w zabezpieczeniach wynikające z dziury w rozwiązaniu SupportAssist firmy Dell mogą pomóc w zapobieżeniu wystąpieniu jakichkolwiek prawdopodobnych problemów lub zagrożeń bezpieczeństwa.