В программе для диагностики и устранения проблем, идущей в комплекте с компьютерами Dell, выявлена уязвимость, позволяющая захватить контроль над системой. В ее наличии повинен сторонний компонент; уязвимости подвержен не только SupportAssist, но и другие аналоги на основе кода разработки PC-Doctor. По оценке экспертов, проблема затрагивает порядка 100 млн компьютеров разных поставщиков.

В бюллетене Dell, посвященном уязвимости CVE-2019-12280, нет подробностей; там сказано лишь, что степень ее опасности оценена как высокая. Комментируя свою находку для The Register, исследователь Пелег Хадар (Peleg Hadar) из SafeBreach Labs пояснил, что уязвимость позволяет резидентному зловреду или вошедшему в систему злоумышленнику повысить привилегии до уровня администратора.

Как оказалось, работающая с правами SYSTEM программа Dell SupportAssist подключает dll-библиотеки из папок пользователя, не проверяя наличие подписи кода. Если заменить такой файл вредоносной копией, она будет с успехом загружена в память и выполнена в контексте администратора. Подобные атаки на Windows — не редкость, они известны как угон DLL.

Наличие уязвимости подтверждено для SupportAssist версии 2.0, поставляемого вместе с ПК бизнес-класса, а также SupportAssist для домашних ПК версий 3.2.1 и ниже. По оценке Dell, в совокупности проблема затрагивает несколько миллионов ее компьютеров.

«Пока пользователи не установят обновления, уязвимыми можно считать все ПК Dell, работающие под ОС Windows с заводскими настройками», — заявил журналистам Хадар.

Оба варианта Dell SupportAssist были пропатчены в конце мая. Обновления 2.0.1 и 3.2.2 можно установить вручную, загрузив из соответствующего каталога вендора, или получить в автоматическом режиме, если он включен. По последним данным, SupportAssist обновили уже более 90% владельцев ПК Dell.

В своем комментарии Хадар также не преминул отметить, что Dell — не единственный поставщик компьютерной техники, использующий уязвимый компонент сторонней разработки в предустановленном ПО. Создателем этого исполняемого кода является американская компания PC-Doctor, которая продает его производителям ПК, а те включают в свои продукты под собственной маркой. «Когда мы известили Dell о находке, они передали информацию в PC-Doctor, — рассказывает эксперт. — Те сказали, что проблема затрагивает несколько OEM-провайдеров».

В блог-записи SafeBreach Labs приведен список затронутых программ, которые удалось выявить в дополнение к Dell SupportAssist:

  • PC-Doctor Toolbox для Windows
  • CORSAIR ONE Diagnostics
  • CORSAIR Diagnostics
  • Staples EasyTech Diagnostics
  • Tobii I-Series Diagnostic Tool
  • Tobii Dynavox Diagnostic Tool

Категории: Главное, Уязвимости