Multe dintre noile calculatoare Dell care rulează Windows vor veni preinstalate cu SupportAssist, care, conform site-ului Dell, „oferă o tehnologie automată, proactivă și predictivă care reduce etapele de depanare și accelerează timpul de rezolvare a problemelor”. Singura problemă cu acest suport care economisește timp este că oferă, de asemenea, hackerilor privilegii de administrare a dispozitivului dumneavoastră.
Numărul exact de utilizatori finali afectați nu a fost făcut public, dar aplicația SupportAssist vine preinstalată pe toate computerele noi cu Windows. Oricine o are încă în funcțiune ar fi vulnerabil la acest tip de atac și trebuie să își actualizeze imediat aplicația sau să dezinstaleze complet aplicația Dell SupportAssist. Vulnerabilitatea este cunoscută încă din luna octombrie a anului trecut, dar un patch a fost lansat abia pe 23 aprilie 2019. Dispozitivele pe care compania le vinde fără Windows nu sunt afectate, deoarece aplicația nu vine preinstalată.
Ce este SupportAssist?
SupportAssist de la Dell este o soluție de asistență automatizată pentru computerele personale, tabletele, dispozitivele de stocare, serverele și dispozitivele de rețea Dell. De fapt, este prima soluție automatizată care oferă asistență proactivă și predictivă pentru un dispozitiv. Aceasta ajută la prevenirea timpilor de nefuncționare înainte ca aceștia să înceapă, prin evaluarea și monitorizarea stării de sănătate a dispozitivului, împreună cu starea de sănătate a serverelor și a dispozitivelor de stocare. Este o soluție de asistență cu adevărat proactivă și anticipativă, care prezice soluția necesară pentru un dispozitiv și oferă rezolvare pentru probleme care nici măcar nu au apărut.
Cum funcționează atacul
H/T către Bill Demirkapi, un cercetător în domeniul securității în vârstă de 17 ani care a descoperit vulnerabilitatea aplicației SupportAssist și a notificat Dell cu privire la acest bug în urmă cu câteva luni. El a postat un raport complet al vulnerabilității pe Github-ul său și un video demonstrativ al atacului.
Atacul funcționează trimițând mai întâi utilizatorii pe o pagină web malițioasă, pe care aplicația SupportAssist de la Dell este apoi păcălită să descarce și să ruleze malware pe PC-urile utilizatorilor.
SupportAssist rulează în mod implicit cu privilegii administrative, lucru care nu se aplică la marea majoritate a aplicațiilor Windows. Din această cauză, atacatorii sunt capabili să obțină drepturi administrative pe PC-urile utilizatorilor.
Cele mai probabile scenarii în care atacatorul poate exploata vulnerabilitatea aplicației de la distanță este atunci când victimele se află pe o rețea Wi-Fi publică sau pe o rețea de întreprindere mare, de exemplu, Wi-Fi la Starbucks-ul local, la locul de muncă sau la școală.
De acolo, atacatorul poate lansa atacuri de falsificare a protocolului de rezoluție a adreselor (Address Resolution Protocol spoofing), oferindu-le acces la adrese IP legitime din cadrul rețelei, precum și atacuri DNS. Securitatea rețelei, a sistemului și a punctelor finale este tot mai importantă pentru a reduce vulnerabilitățile care decurg din acest defect.
Cum poate ajuta Syxsense
În luna februarie a acestui an, Dell a emis patch-uri care se spune că rezolvă vulnerabilitatea care decurge din defectul din programul lor SupportAssist. Pentru cei care nu au actualizări automate Dell SupportAssist sau care nu pot actualiza la Dell SupportAssist pentru PC-uri de afaceri versiunea 2.1.4 sau la Dell SupportAssist pentru PC-uri de uz casnic versiunea 3.4.1, Syxsense poate oferi câteva soluții pentru a remedia situația:
- Inventory Queries poate ajuta la arătarea instantanee a dispozitivelor care sunt afectate pentru că au instalat SupportAssist sau la verificarea celor care sunt în siguranță pentru că acesta nu este.
- Software Distribution poate fi exploatat pentru a dezinstala software-ul Dell prin intermediul programului de instalare original sau printr-un script.
- După dezinstalare, Syxsense poate reverifica faptul că software-ul nu mai există.
- Funcția de control de la distanță a Syxsense poate fi valorificată pentru a verifica dacă nu au fost create conturi suplimentare de administrator pe punctele finale individuale.
- Cu ajutorul securității punctelor finale, toate punctele de intrare și punctele finale ale dispozitivelor utilizatorilor finali, cum ar fi laptopurile, desktopurile, tabletele și dispozitivele mobile, pot fi securizate pentru a se asigura că aceste dispozitive nu permit atacurile SupportAssist la rețeaua sau dispozitivele clientului.
- Managementul de patch-uri este o soluție crucială care poate ajuta la rezolvarea atacurilor Dell SupportAssist sau a amenințărilor cu rating ridicat, similare cu cele reprezentate de defectul SupportAssist de la Dell. De fapt, Dell a rezolvat deja problema prin intermediul unei soluții de gestionare a patch-urilor, după cum s-a explicat mai sus. Patch-urile care remediază vulnerabilitățile apărute în urma defectului din soluția Dell SupportAssist pot ajuta la prevenirea apariției oricăror probleme sau amenințări de securitate probabile.