Phần mềm chẩn đoán OEM được Dell và các nhà sản xuất khác sử dụng có lỗi bảo mật nghiêm trọng

Franc Artes, Kiến trúc sư kinh doanh bảo mật tại Cisco cho biết, cảnh quan của phần mềm độc hại đang phát triển như thế nào Chúng ta vẫn có một số lượng lớn các vụ hack và phần mềm độc hại xuất hiện thông qua các "thủ thuật lừa đảo và cũ hơn".

Một lỗ hổng bảo mật nghiêm trọng tồn tại trong phần mềm chẩn đoán được sử dụng bởi Dell và các nhà sản xuất PC khác, theo bài đăng trên blog hôm thứ Năm từ công ty an ninh mạng Safebreach Labs.

Thông tin thêm về an ninh mạng

  • An ninh mạng năm 2020: Tám dự đoán đáng sợ
  • 10 cuộc tấn công mạng quan trọng nhất của thập kỷ
  • Làm thế nào để trở thành một chuyên gia an ninh mạng: Một mánh gian lận
  • Kẻ lừa đảo nổi tiếng Frank Abagnale: Tội phạm ngày nay dễ hơn 4.000 lần

Phần mềm chẩn đoán có tên SupportAssist trên PC Dell, nhưng thực sự là phiên bản được đổi thương hiệu của phần mềm được viết bởi PC-Doctor. Phần mềm được đề cập được sử dụng bởi một số OEM khác nhau sản xuất PC Windows và thường được cài đặt sẵn như một công cụ để theo dõi tình trạng phần cứng và phần mềm.

Để theo dõi sức khỏe của các thành phần phần cứng và phần mềm, phần mềm PC-Doctor yêu cầu quyền truy cập cấp cao vào các máy tính chủ của nó. Yêu cầu truy cập cấp cao đó là vấn đề xuất hiện: Nó có thể được khai thác để cung cấp cho những kẻ tấn công nâng cao, truy cập liên tục vào hàng trăm triệu PC được cài đặt phần mềm.

Làm thế nào PC-Doctor phạm sai lầm

Safebreach Labs đã thử nghiệm khai thác bằng Dell SupportAssist, công ty đã tìm thấy sử dụng nhiều loại thực thi PC-Doctor khác nhau để thu thập thông tin hệ thống. Điều đó không phải là vấn đề: Đó là cách những người thực thi đó thu thập thông tin đó.

PC-Doctor sử dụng một số thư viện DLL khác nhau để thu thập thông tin từ các nguồn khác nhau và trình bày chúng cho SupportAssist. Trong khi thử nghiệm để xem các DLL đã làm gì, SafeBreach đã phát hiện ra rằng một số mô-đun thu thập thông tin đã tìm kiếm các DLL nằm trong thư mục biến môi trường PATH.

Thư mục biến môi trường PATH nói chung là một thư mục có thể ghi cho người dùng máy tính được xác thực, điều đó có nghĩa là kẻ tấn công về mặt lý thuyết có thể thả một DLL độc hại vào nó và được phần mềm PC-Doctor thực hiện, đó chính xác là những gì Peleg Hadar của Safebreach Labs tìm thấy.

Hadar đã tải các DLL không dấu vào các thư mục đích và PC-Doctor đã thực thi chúng mà không cần suy nghĩ thứ hai. Nó đã làm điều này vì hai lý do:

  1. PC-Doctor không thực hiện tải DLL an toàn. Nó tải DLL bằng cách sử dụng lệnh không cho phép chương trình gắn cờ DLL chỉ được tải từ các vị trí an toàn đã biết.

  2. PC-Doctor không kiểm tra chứng chỉ kỹ thuật số hợp lệ trước khi tải DLL. Nói cách khác, nó sẽ tải bất kỳ DLL không dấu nào.

Nếu kẻ tấn công có thể sử dụng lỗ hổng này, họ sẽ có thể tự cung cấp cho mình các đặc quyền nâng cao liên tục, cũng như có thể bỏ qua danh sách trắng ứng dụng và xác thực chữ ký.

Lỗ hổng cũng sẽ cho phép kẻ tấn công bỏ qua việc thực thi chữ ký trình điều khiển, được thiết kế để làm cho các cửa sổ bị sập nếu trình điều khiển chế độ kernel không dấu được tải. Nếu thực hiện thành công, kẻ tấn công sẽ có quyền truy cập đọc / ghi đầy đủ.

Ai có nguy cơ?

Tất cả các PC Dell có SupportAssist đều gặp rủi ro, nhưng vấn đề còn lớn hơn thế: phần mềm PC-Doctor được cài đặt trên một loạt các máy OEM.

Thật không may, PC-Doctor đã không tiết lộ những OEM này là gì và vì phần mềm của nó thường được đổi thương hiệu để phù hợp với OEM, nên gần như không thể biết đầy đủ số lượng PC bị nhiễm.

May mắn thay, không có trường hợp nào được biết đến về việc khai thác này được sử dụng trong trò chơi hoang dã, nó chỉ là một bằng chứng về khái niệm đã được trình bày cho Dell và PC-Doctor, sau này cho biết họ sẽ phát hành bản cập nhật bảo mật vào tháng 6 năm 2019 để giải quyết vấn đề.

Cho đến khi bản vá được phát hành, người dùng Dell nên xem xét việc vô hiệu hóa SupportAssist để ngăn nó chạy các DLL độc hại. Người dùng của các nhóm CNTT và PC OEM khác phải tuân theo các thực tiễn bảo mật tốt như cài đặt tất cả các bản cập nhật hệ thống, không mở tệp đính kèm từ các nguồn không xác định, phần mềm có thể chấp nhận trong danh sách trắng và đảm bảo tường lửa trực tuyến.

Bản tin nội bộ không gian mạng

Tăng cường phòng thủ bảo mật CNTT của tổ chức của bạn bằng cách theo kịp các tin tức, giải pháp và thực tiễn tốt nhất về an ninh mạng mới nhất. Giao hàng thứ ba và thứ năm

Đăng ký hôm nay

Cũng thấy

  • Làm thế nào để trở thành một chuyên gia an ninh mạng: Một mánh gian lận (TechRepublic)
  • 10 lỗ hổng ứng dụng nguy hiểm cần đề phòng (Tải xuống TechRepublic)
  • Bảo mật Windows 10: Hướng dẫn dành cho lãnh đạo doanh nghiệp (Tech Pro Research)
  • Bảo mật trực tuyến 101: Mẹo để bảo vệ quyền riêng tư của bạn khỏi tin tặc và gián điệp (ZDNet)
  • Trình quản lý mật khẩu tốt nhất năm 2019 (CNET)
  • An ninh mạng và chiến tranh mạng: Bảo hiểm phải đọc nhiều hơn (TechRepublic trên Flipboard)
Hình: iStockphoto / peshkov

© Copyright 2020 | mobilegn.com