Software preinstalado en computadoras DELL te deja vulnerable a ataques remotos

Iniciado por illumiNatty, Mayo 02, 2019, 10:17:53 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Si tenes una computadora DELL, CUIDADO- pueden comprometer tu sistema remotamente.

Bill Demirkapi, un chico de 17 años, descubrió una vulnerabilidad critica de ejecución de código remoto en "Dell SupportAssist" que viene preinstalado en la mayoría de las computadoras Dell.

"Dell SupportAssist"  anteriormente conocido como "Dell System Detect" verifica el estado del hardware y software de tu sistema.

Este soft está diseñado para interactuar con el soporte de Dell y detectar automáticamente el "Service Tag" o "Express Service Code" de los productos dell, busca controladores de dispositivos existentes, instala actualizaciones de controladores faltantes o disponibles y también realiza pruebas de diagnostico de hardware.


Si te estas preguntando como trabaja, corre en background un web server local utilizando los puertos 8884, 8883, 8886 o 8885, y acepta varios comandos como parámetros de url para realizar tareas predefinidas en la computadora, como recolectar información detallada del sistema o descargar software del server remoto e instalarlos en el sistema

Aunque el servicio web local es protegido utilizando el encabezado "access-control-allow-origin" y tiene algunas validaciones que lo restringen para aceptar solo comandos del sitio "dell.com" o sus subdominios, Demirkapi explicó las formas de evitar esta protección.



Como se muestra en el video, Demirkapi demostró como hackers remotos pueden descargar e instalar fácilmente malware de un servidor remoto en las computadoras Dell afectadas para tomar control total de ellas

"Un atacante no autenticado, que comparte la capa de acceso a la red con el sistema vulnerable puede comprometer al sistema engañando a un usuario victima para que descargue y ejecute soft arbitrario a través del cliente SupportAssist desde los sitios hospedados por el atacante " Dijo la compañía Dell en un aviso.


La vulnerabilidad de ejecución remota, identificada como CVE-2019-3719, afecta el cliente SupportAssist de dell en versiones inferiores a la 3.2.0.90

Antes de hacer publica la vulnerabilidad, informo de manera responsable sus hallazgos al equipo de seguridad de Dell, que ahora lanzo una versión actualizada del soft afectado para parchear el problema.




Ademas de este problema, Dell tambien soluciono la validación de origen del soft que podía permitir a un atacante remoto no autenticado hacer ataques CSRF (Cross-site request forgery o falsificación de petición en sitios cruzados) en los sistemas de usuarios.




Se recomienda a TODOS LOS USUARIOS DE DELL
que actualicen Dell SupportAssist o bien desinstalen la aplicación