歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

戴爾預裝的SupportAssist組件存在DLL劫持漏洞,全球超過1億臺設備面臨網絡攻擊風險

來源:本站整理 作者:佚名 時間:2019-06-25 TAG: 我要投稿

SupportAssist是一款功能強大的支持應用程序,有助于確保用戶的系統始終以最佳狀態運行、主動發現問題并可讓您運行診斷程序和驅動程序更新掃描。
不過最近,有研究人員發現這款工具軟件存在一個DLL劫持漏洞。慶幸的是,目前戴爾官方已經發布了更新后的版本,在此我們建議所有受影響的客戶立即下載安裝更新。
問題在于,該漏洞不僅影響使用SupportAssist工具軟件的戴爾計算機,還會波及到第三方。戴爾和其他原始設備制造商生產的數百萬臺PC容易受到預裝SupportAssist軟件中的組件漏洞的影響,該漏洞可能使遠程攻擊者完全接管受影響的設備。
高嚴重性漏洞(CVE-2019-12280)源自SupportAssist中的一個組件,這是一種預先安裝在PC上的主動監控軟件,可自動檢測故障并為Dell設備發送通知。該組件由一家名為PC-Doctor的公司制造,該公司為各種PC和筆記本電腦原始設備制造商(OEM)開發硬件診斷軟件。
SafeBreach實驗室的安全研究員Peleg Hadar表示:
大多數運行Windows的戴爾設備都預裝了SupportAssist,這意味著只要該軟件沒有打補丁,這個漏洞可能會影響到許多戴爾用戶。
PC-Doctor已發布補丁,用于修復受影響的設備。受影響的客戶可以點擊這里找到最新版本的SupportAssist(適用于單個PC用戶)或點擊這里(適用于IT管理員)。
目前戴爾表示,他們已經要求用戶打開自動更新或手動更新他們的SupportAssist軟件。戴爾發言人表示,由于大多數客戶都啟用了自動更新,目前約有90%的客戶已收到該補丁。
SafeBreach發現的漏洞是PC Doctor漏洞,是Dell SupportAssist for Business PC和Dell SupportAssist for Home PC附帶的第三方組件。 漏洞出現后,PC Doctor迅速向戴爾發布修復程序,戴爾在2019年5月28日為受影響的SupportAssist版本實施并發布了更新。
漏洞解構
該漏洞源自SupportAssist中的一個組件,該組件檢查系統硬件和軟件的運行狀況并需要高權限。易受攻擊的PC-Doctor組件是SupportAssist中安裝的簽名驅動程序,這允許SupportAssist訪問硬件(例如物理內存或PCI)。
該組件具有動態鏈接庫(DLL)加載漏洞故障,可能允許惡意攻擊者將任意未簽名的DLL加載到服務中。 DLL是用于保存Windows程序的多個進程的文件格式。
將DLL加載到程序中時,由于沒有針對二進制文件進行數字證書驗證。該程序不會驗證它將加載的DLL是否已簽名,因此,它會毫不猶豫地加載任意未簽名的DLL。
因為PC-Doctor組件已經簽署了Microsoft的內核模式和SYSTEM訪問證書,如果一個壞的actor能夠加載DLL,他們將實現權限提升和持久性:包括對包括物理內存在內的低級組件的讀/寫訪問,系統管理BIOS等。
Hadar表示:
遠程攻擊者可以利用這個漏洞,攻擊者需要做的就是誘騙(使用社會工程或其他策略)受害者將惡意文件下載到某個文件夾。所需的權限取決于用戶的'PATH env'變量,如果攻擊者有一個常規用戶可以寫入的文件夾,則不需要高級權限。攻擊者利用該漏洞獲得后在簽名服務中作為SYSTEM執行,基本上他可以做任何他想做的事情,包括使用PC-Doctor簽名的內核驅動程序來讀寫物理內存。
更糟糕的是,SupportAssist中的組件也影響了一系列正在使用其重新命名版本的OEM :這意味著其他未命名的OEM設備也容易受到攻擊。
PC-Doctor沒有透露其他受影響的OEM,但表示已發布補丁以解決“所有受影響的產品”。
PC-Doctor發言人告訴研究人員,PC-Doctor開始意識到PC-Doctor的戴爾硬件支持服務和PC-Doctor Toolbox for Windows中存在一個不受控制的搜索路徑元素漏洞。此漏洞允許本地用戶通過位于不安全目錄中的木馬DLL獲取權限并進行DLL劫持攻擊,該目錄已由運行具有管理權限的用戶或進程添加到PATH環境變量中。
也就是說,具有常規用戶權限的攻擊者可以通過在特定位置植入特制DLL文件來利用提升的權限執行任意代碼,從而利用該漏洞。
檢測到問題時,SupportAssist用于檢查系統硬件和軟件的運行狀況,它會向Dell發送必要的系統狀態信息,以便開始進行故障排除。顯然,這些檢查需要提升權限,因為許多服務使用SYSTEM權限運行。
據專家介紹,SupportAssist利用PC-Doctor公司開發的組件來訪問敏感的低級硬件(包括物理內存,PCI和SMBios)。
專家發現,在Dell硬件支持服務啟動后,它會執行DSAPI.exe,而DSAPI.exe又執行pcdrwi.exe。兩個可執行文件都以SYSTEM權限運行,然后,該服務執行多個PC-Doctor可執行文件以收集系統信息。可執行文件是使用擴展名為“p5x”的常規PE文件。
其中三個p5x可執行文件嘗試在用戶PATH環境變量上找到以下DLL文件:LenovoInfo.dll,AlienFX.dll,atiadlxx.dll,atiadlxy.dll。
專家們發現,在他們的測試環境中,路徑c:\python27有一個ACL,允許任何經過身份驗證的用戶將文件寫入ACL。這意味著可以升級權限并允許常規用戶編寫缺少的DLL文件并實現代碼執行為SYSTEM,該漏洞使攻擊者能夠通過簽名服務加載和執行惡意負載。這種能力可能被攻擊者用于不同目的,例如執行和逃避:
· 應用白名單繞過;
· 簽名驗證繞過;
漏洞的根本原因是,缺乏安全的DLL加載以及缺少針對二進制文件的數字證書驗證。
漏洞發現時間軸
· 04/29/19:報告漏洞;
· 04/29/19:戴爾的初步回復;
· 05/08/19:戴爾確認該漏洞;
· 05/21/19:戴爾將此問題發送給PC-Doctor;
· 05/21/19:PC-Doctor計劃在6月中旬發布修復程序;
· 05/22/19:PC-Doctor正式發布漏洞公告(CVE-2019-12280);
· 05/28/19:戴爾發布受PC-Doctor受影響的SupportAssist的修復補丁;
· 06/12/19:披露日期延長至6月19日;
· 06/19/2019:漏洞披露;
后續影響
考慮到PC-Doctor在全球的裝機量超過1億臺,漏洞的影響范圍可能更加深遠。SafeBreach的安全研究人員發現,存在漏洞的組件還用在了CORSAIR Diagnostics、Staples EasyTech Diagnostics、Tobii I-Series和Tobii Dynavox等診斷工具中。
 

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 原创视频素材能赚钱吗 迎春花市赚钱吗 什么软件可以赚钱 玩玩就可以 梦幻西游拍卖使者赚钱吗 玩跑酷都选择怎么赚钱 便宜的自助餐怎么赚钱 电销贷款的赚钱吗 抖音关注点赞可以赚钱 路边卖刮刮乐赚钱吗 在美国卖什么好赚钱 天龙八部天龙怎么赚钱 2015年股灾赵老哥赚钱了 工作难做不赚钱 现在农村卖什么植物最赚钱 货拉拉怎么样 赚钱吗6 用视频怎样赚钱