Lỗ hổng bảo mật trong phần mềm Dell Support ảnh hưởng tới hàng triệu máy tính

Tiện ích SupportAssist được cài đặt sẵn trên hàng triệu máy tính xách tay và PC của Dell chứa lỗ hổng bảo mật có thể cho phép phần mềm độc hại hoặc người dùng giả mạo (rogue logged-in users) leo thang đặc quyền lên cấp quản trị viên và truy cập vào các thông tin nhạy cảm.



Các nhà nghiên cứu bảo mật tại SafeBreach Lab s đã phát hiện ra lỗ hổng mang số hiệu CVE-2019-12280 tồn tại trên hàng triệu máy tính Dell. Lỗ hổng là một vấn đề leo thang đặc quyền và ảnh hưởng đến ứng dụng SupportAssist của Dell cho dòng PC doanh nghiệp (phiên bản 2.0) và PC gia đình (phiên bản 3.2.1 và tất cả các phiên bản trước đó).



Dell SupportAssist, trước đây gọi là Dell System Detect được
sử dụng để kiểm tra “sức khỏe” phần cứng và phần mềm của hệ thống máy tính, cảnh
báo khách hàng để thực hiện các hành động thích hợp nhằm giải quyết các vấn đề
gặp phải. Để thực hiện được thao tác này, Dell SupportAssist được cấp quyền chạy
trên máy tính người dùng với quyền cấp độ HỆ THỐNG (SYSTEM-level).



Lỗ hổng bắt nguồn từ đặc quyền của Dell SupportAssist



Với các đặc quyền cấp cao này, Dell SupportAssist có khả
năng tương tác với trang web Hỗ trợ (Dell Support website) và tự động phát hiện
Service Tag hoặc Express Service Code của sản phẩm. Ngoài ra, Dell
SupportAssist cũng có khả năng quét các driver thiết bị hiện có, cài đặt các bản
cập nhật driver bị thiếu hoặc có sẵn, đồng thời thực hiện các kiểm tra chẩn
đoán phần cứng.



Tuy nhiên, các nhà nghiên cứu tại SafeBreach Labs đã phát hiện
ra rằng Dell SupportAssist có khả năng tải các file .dll không an toàn từ các thư
mục do người dùng kiểm soát mà khi chạy có thể để lại một điểm “hở” (spot) cho các
malware và người dùng giả mạo làm hỏng DLL hiện có hoặc thay thế chúng bằng các
tệp độc hại.



Do đó, khi SupportAssist tải các DLL bị nhiễm độc thì mã độc
sẽ được đưa vào chương trình và thực thi trong ngữ cảnh của quản trị viên, bởi
vậy kẻ tấn công có thể dễ dàng giành quyền kiểm soát hoàn toàn hệ thống được nhắm
mục tiêu.



Lỗ hổng ảnh hưởng tới hàng triệu người dùng trên toàn thế giới



Theo công bố chính thức trên trang web của Dell thì
SupportAssist hiện được cài đặt sẵn trên hầu hết các thiết bị Dell chạy hệ điều
hành Windows. Các nhà nghiên cứu cho biết, điều này có nghĩa lỗ hổng sẽ ảnh hưởng
đến hàng triệu người dùng Dell PC.



Điều đáng lo ngại ở đây là gì? Các nhà nghiên cứu tin rằng
Dell không phải là công ty duy nhất có các dòng PC bị ảnh hưởng bởi vấn đề bảo
mật này.



Do Dell SupportAssist được viết và duy trì bởi công ty chẩn
đoán và hỗ trợ khách hàng có trụ sở tại Nevada, nên các nhà sản xuất PC khác sử
dụng cùng bộ công cụ chẩn đoán và khắc phục sự cố trên các dòng máy tính của họ
cũng sẽ chịu ảnh hưởng của lỗ hổng bảo mật này.



Lỗ hổng ảnh hưởng tới các dòng PC khác ngoài Dell



Sau khi SafeBreach Labs gửi các chi tiết về lỗ hổng cho
Dell, thì các nhà nghiên cứu lại tiếp tục phát hiện ra rằng lỗ hổng này ảnh hưởng
đến cả các OEM bổ sung sử dụng một phiên bản đổi thương hiệu (rebranded version)
của PC-Doctor Toolbox cho các thành phần của phần mềm Windows.



Ngoài ra, theo trang web PC-Doctor thì các nhà sản xuất PC đã cài đặt sẵn hơn 100 triệu bản PC-Doctor cho Windows trên các hệ thống máy tính trên toàn thế giới. Điều đó có nghĩa là lỗ hổng này cũng ảnh hưởng đến các OEM khác dựa trên PC-Doctor để khắc phục sự cố của các tool chuyên biệt.



Do phần mềm SupportAssist của Dell sử dụng signed drivers của
PC-Doctor để truy cập bộ nhớ và phần cứng cấp thấp nên các nhà nghiên cứu đã mô
phỏng tương tự như PoC cho lỗ hổng này khi đọc nội dung của một địa chỉ bộ nhớ
vật lý tùy ý (arbitrary physical memory address).



SafeBreach Labs đã báo cáo lỗ hổng cho Dell vào ngày 29
tháng 4 năm 2019 và công ty sau đó đã báo cáo vấn đề với PC Doctor, cũng như phát
hành bản sửa lỗi do PC-Doctor vào ngày 28 tháng 5 cho các phiên bản
SupportAssist bị ảnh hưởng.



Người dùng của các dòng PC doanh nghiệp và PC gia đình của
Dell được khuyến nghị cập nhật phần mềm Dell SupportAssist cho Business PC
phiên bản 2.0.1 và Dell SupportAssist cho Home PC phiên bản 3.2.2.



Thực tế là đây cũng không phải lần đầu tiên Dell
SupportAssist bị ảnh hưởng bởi các lỗ hổng bảo mật nghiêm trọng.



Vào tháng Tư năm nay, Dell cũng đã giải quyết một lỗ hổng RCE quan trọng trong tiện ích SupportAssist cho phép kẻ tấn công tải xuống và cài đặt phần mềm độc hại từ một máy chủ từ xa trên các máy tính Dell bị ảnh hưởng và kiểm soát hoàn toàn chúng.



THN
The post Lỗ hổng bảo mật trong phần mềm Dell Support ảnh hưởng tới hàng triệu máy tính appeared first on SecurityDaily .