Спецпроекты

Найдена «дыра» во всех компьютерах Dell с предустановленной Windows

4882
Безопасность Стратегия безопасности Пользователю Техника

Семнадцатилетний исследователь безопасности нашел уязвимость в утилите Dell SupportAssist, которая дает возможность удаленно выполнить на устройстве код с привилегиями администратора. Поскольку утилита есть на всех ПК Dell, на которые производитель предустанавливает Windows, проблема затрагивает множество устройств.

Уязвимость в утилите

В утилите Dell SupportAssist найдена уязвимость, которая дает возможность хакеру удаленно выполнять на устройстве код с привилегиями администратора. Баг получил номер CVE-2019-3719. Сама утилита предназначена для отладки, диагностики и обновления драйверов Dell.

Dell SupportAssist по умолчанию устанавливается на всех ПК и ноутбуках Dell, которые поставляются с предустановленной ОС Windows, поэтому проблема затрагивает значительное количество устройств. Если компьютер продается без предустановленной Windows, на него угроза не распространяется.

Dell исправила уязвимость в версии утилиты Dell SupportAssist 3.2.0.90, которую компания рекомендует установить на все ПК из группы риска.

Напомним, по итогам первого квартала 2019 г. Dell занимает третье место в мире по объему продаж ПК с долей рынка 17,7%. За квартал компания отгрузила 10,38 млн ПК, показав годовой рост на 1,9%.

Взаимодействие с жертвой

Уязвимость была обнаружена Биллом Демиркапи (Bill Demirkapi), 17-летним исследователем безопасности из США. По его словам, чтобы получить контроль над устройством жертвы, хакеру нужно добиться, чтобы пользователь посетил сайт с вредоносным кодом JavaScript. Код даст утилите команду загрузить и запустить вредоносные файлы из среды, которую контролирует хакер.

В компьютерах Dell найдена опасная уязвимость

Собственно, посещение сайта — это единственное действие, которое должна совершить жертва, в остальном атака осуществляется без ее участия. В случае необходимости, можно использовать не специальный вредоносный сайт, а спрятать код JavaScript в плавающих фреймах рекламы на обычном сайте.

Как добиться спуфинга

Чтобы обеспечить удаленное выполнение кода, хакеру придется прибегнуть к атаке типа ARP- и DNS-спуфинг, при котором происходит так называемое отравление кэша DNS, то есть данные кэша доменных имен изменяются хакером для возврата ложного IP-адреса. Плавающий фрейм указывает на субдомен dell.com, но DNS-спуфинг возвращает неправильный адрес для домена dell.com, и в результате хакер может контролировать, какие файлы посылаются и исполняются Dell SupportAssist.

Чтобы сделать спуфинг возможным, хакеру придется получить доступ к публичному Wi-Fi или крупной корпоративной сети, где одно из устройств может быть использовано для атаки на компьютер жертвы. Как вариант, можно скомпрометировать локальный роутер Wi-Fi, чтобы DNS-трафик можно было изменять прямо в маршрутизаторе.

Похожие случаи

Это не единственный случай за последнее время, когда исследователи находят способ взлома, ставящий под угрозу большое количество компьютеров. Например, в сентябре 2018 г. исследовательская компания F-Secure нашла способ отключить перезапись памяти во время выключения компьютера, что вновь сделало эффективным такой способ хищения данных как атака методом холодной перезагрузки. Разработанная компанией атака использует брешь в прошивке.

Уязвимость затрагивала почти все ноутбуки и десктопы, работающие под управлением как Windows, так и операционных систем Apple. Из современных ПК перед ней оказались неуязвимы только Mac с чипами T2.



Взгляд месяца

Идея внутренней разработки себя не оправдала

Наталия Оржевская

директор центра управления командами, «Диасофт»

Стратегия месяца

Периферийные вычисления перемещаются в центр внимания