Muitos computadores novos da Dell com Windows virão pré-instalados com o SupportAssist, que de acordo com o site da Dell “fornece tecnologia automatizada, proativa e preditiva que reduz as etapas de solução de problemas e acelera o seu tempo de resolução”. O único problema com esse suporte que economiza tempo é que ele também está dando privilégios de administrador aos hackers para o seu dispositivo.
O número exato de usuários finais afetados não foi lançado, mas o aplicativo SupportAssist vem pré-carregado em todos os novos computadores Windows. Qualquer pessoa que ainda o tenha em execução estará vulnerável a este tipo de ataque e precisará atualizar seu aplicativo imediatamente ou desinstalar completamente o aplicativo Dell SupportAssist. A vulnerabilidade é conhecida desde outubro do ano passado, mas um patch acabou de ser lançado em 23 de abril de 2019. Os dispositivos que a empresa vende sem Windows não são afetados, pois o aplicativo não vem pré-instalado.
O que é o SupportAssist?
O SupportAssist da Dell é uma solução de suporte automatizado para computadores pessoais, tablets, dispositivos de armazenamento, servidores e dispositivos de rede da Dell. Na verdade, é a primeira solução automatizada que oferece suporte pró-ativo e preditivo para um dispositivo. Ele ajuda a evitar o tempo de inatividade antes mesmo de começar, avaliando e monitorando o estado do dispositivo junto com o estado dos servidores e dispositivos de armazenamento. É uma solução de suporte verdadeiramente proactiva e preventiva que prevê a solução exigida por um dispositivo e oferece resolução para problemas que ainda nem sequer surgiram.
How The Attack Works
H/T para Bill Demirkapi, um investigador de segurança de 17 anos que descobriu a vulnerabilidade do aplicativo SupportAssist e notificou a Dell sobre o bug há alguns meses. Ele postou um relatório completo de vulnerabilidade em seu Github e um vídeo de demonstração do ataque.
O ataque funciona enviando primeiro os usuários para uma página da Web maliciosa, que o SupportAssist da Dell é então enganado para baixar e executar malware nos PCs dos usuários.
O SupportAssist é executado com privilégios administrativos por padrão, algo que não se aplica à grande maioria das aplicações Windows. Por causa disso, os atacantes são capazes de ganhar direitos administrativos nos PCs dos usuários.
Os cenários mais prováveis nos quais o atacante pode explorar remotamente a vulnerabilidade do aplicativo é quando as vítimas estão em uma rede Wi-Fi pública ou em uma grande rede empresarial, ou seja, Wi-Fi no Starbucks local, local de trabalho ou escola.
A partir daí, o atacante pode lançar ataques de spoofing de Protocolo de Resolução de Endereço, dando-lhes acesso a endereços IP legítimos dentro da rede, bem como ataques DNS. A segurança de rede, sistema e endpoint são cada vez mais importantes na redução das vulnerabilidades decorrentes da falha.
Como o Syxsense pode ajudar
A partir de fevereiro deste ano, a Dell emitiu patches que dizem corrigir a vulnerabilidade decorrente da falha em seu programa SupportAssist. Para aqueles que não têm atualizações automáticas do Dell SupportAssist ou não conseguem atualizar para o Dell SupportAssist para PCs comerciais versão 2.1.4 ou Dell SupportAssist para PCs domésticos versão 3.4.1, a Syxsense pode oferecer algumas soluções para remediar a situação:
- Inventory Queries podem ajudar a mostrar instantaneamente quais dispositivos são afetados por terem o SupportAssist instalado ou verificar quais são seguros por não serem.
- A distribuição de software pode ser aproveitada para desinstalar o software Dell através do instalador original ou através de um script.
- Pós-desinstalação, Syxsense pode verificar novamente que o software não existe mais.
- O recurso de Controle Remoto do Syxsense pode ser aproveitado para verificar se contas de administrador adicionais não foram criadas nos endpoints individuais.
- Com a ajuda da segurança dos endpoints, todos os pontos de entrada e os pontos finais dos dispositivos do usuário final como laptops, desktops, tablets e dispositivos móveis podem ser protegidos para garantir que esses dispositivos não permitam ataques do SupportAssist à rede ou aos dispositivos clientes.
- O gerenciamento de patches é uma solução crucial que pode ajudar a resolver os ataques do SupportAssist da Dell ou ameaças de alta classificação semelhantes às apresentadas pela falha do SupportAssist da Dell. Na verdade, a Dell já resolveu o problema através de uma solução de gerenciamento de patches, conforme explicado acima. Os patches que corrigem as vulnerabilidades decorrentes da falha na solução SupportAssist da Dell podem ajudar a prevenir a ocorrência de qualquer problema ou ameaça provável de segurança.