Máy tính Dell có Hỗ trợ Tiện ích Hỗ trợ Dễ bị Tấn công Nâng cấp Đặc quyền 'Mức độ nghiêm trọng cao', Đã phát hành Bản cập nhật Bảo mật cho Windows 10
Máy tính Dell chạy hệ điều hành Windows dễ bị tấn công bởi lỗ hổng bảo mật "mức độ nghiêm trọng cao". Rõ ràng, Dell’s SupportAssist, một tiện ích nhằm giúp chẩn đoán và giải quyết vấn đề, có thể cho phép những kẻ tấn công giành quyền kiểm soát hoàn toàn các PC bằng cách thực thi mã chưa được ký và chưa được phê duyệt. Nhận thức được mối đe dọa bảo mật, Dell đã phát hành hai bản vá bảo mật cho SupportAssist trong nhiều tháng. Tuy nhiên, các hệ thống chưa được vá vẫn tiếp tục dễ bị tấn công bởi các cuộc tấn công leo thang đặc quyền.
Dell vừa phát hành bản vá thứ hai cho phần mềm SupportAssist. Phần mềm này thực chất là một bộ công cụ hỗ trợ chẩn đoán các vấn đề và sự cố thường gặp trong hệ điều hành. Ứng dụng cũng cung cấp một số phương pháp để giải quyết những vấn đề này. Ngẫu nhiên, được gọi không chính thức là bloatware, Dell’s SupportAssist được cài đặt sẵn trên phần lớn các PC mà Dell xuất xưởng. Thật không may, một vài lỗi trong phần mềm có thể cho phép tin tặc xâm nhập một máy tính dễ bị tấn công hoặc chưa được vá.
Giải quyết các lo ngại về bảo mật, Dell đã phát hành các bản cập nhật cho SupportAssist for Business và SupportAssist cho Home. Rõ ràng, các lỗ hổng nằm trong một thành phần được gọi là PC Doctor. Phần mềm này là một sản phẩm phổ biến của một nhà cung cấp phần mềm của Hoa Kỳ. Nhà cung cấp này là nhà phát triển ưa thích của nhiều nhà sản xuất PC. PC Doctor thực chất là phần mềm chẩn đoán phần cứng. OEM thường xuyên triển khai phần mềm trên máy tính mà họ bán để theo dõi tình trạng của hệ thống. Không rõ liệu Bác sĩ PC chỉ tìm kiếm các vấn đề phổ biến và đưa ra giải pháp hoặc giúp OEM chẩn đoán vấn đề từ xa.
SupportAssist đi kèm với hầu hết các máy tính xách tay và máy tính Dell chạy Windows 10. Vào tháng 4 năm nay, Dell đã phát hành bản vá cho một lỗi bảo mật nghiêm trọng sau khi một nhà nghiên cứu bảo mật độc lập phát hiện ra công cụ hỗ trợ có thể bị những kẻ tấn công từ xa sử dụng để chiếm đoạt hàng triệu hệ thống dễ bị tấn công. Lỗi này đã tồn tại trong chính mã SupportAssist của Dell. Tuy nhiên, lỗ hổng bảo mật đã xuất hiện trong thư viện phần mềm của bên thứ ba do PC Doctor cung cấp.
Các nghiên cứu bảo mật đã phát hiện ra lỗ hổng trong một tệp có tên “Common.dll”. Hiện vẫn chưa rõ liệu cần cả SupportAssist và PC Doctor để thực hiện cuộc tấn công leo thang đặc quyền hay chỉ PC Doctor là đủ. Tuy nhiên, các chuyên gia lưu ý rằng các OEM khác ngoài Dell, những người phụ thuộc vào phần mềm, nên kiểm tra bảo mật để đảm bảo các giải pháp của họ không bị tấn công.
Dell đã đưa ra lời khuyên bảo mật sau khi phát hành bản vá. Dell đang rất khuyến khích người dùng PC có thương hiệu của mình cập nhật Dell SupportAssist. Dell SupportAssist cho PC doanh nghiệp hiện có phiên bản 2.0 và Dell SupportAssist cho PC gia đình là phiên bản 3.2.1. Bản vá thay đổi số phiên bản sau khi nó được cài đặt.
Mặc dù có số phiên bản khác nhau, Dell đã gắn thẻ lỗ hổng bảo mật bằng một mã duy nhất, “CVE-2019-12280”. Sau khi bản vá được cài đặt, Dell SupportAssist dành cho PC dành cho doanh nghiệp sẽ có phiên bản 2.0.1 và của PC gia đình lên 3.2.2. Tất cả các phiên bản trước vẫn tiếp tục dễ bị đe dọa bởi các mối đe dọa tiềm ẩn.
Cuộc tấn công leo thang đặc quyền trên máy tính Dell có SupportAssist hoạt động như thế nào?
Như đã đề cập ở trên, SupportAssist đi kèm với hầu hết các máy tính xách tay và máy tính Dell chạy Windows 10. Trên các máy Dell chạy Windows 10, một dịch vụ đặc quyền cao có tên là ‘Dell Hardware Support’ tìm kiếm một số thư viện phần mềm. Chính đặc quyền bảo mật này cùng với số lượng lớn các yêu cầu và sự chấp thuận mặc định của các thư viện phần mềm có thể bị kẻ tấn công cục bộ sử dụng để đạt được các đặc quyền ngày càng tăng. Điều quan trọng cần lưu ý là mặc dù lỗ hổng bảo mật trước đó có thể bị khai thác bởi những kẻ tấn công từ xa, nhưng lỗi được phát hiện gần đây nhất yêu cầu kẻ tấn công phải ở trên cùng một mạng.
Kẻ tấn công cục bộ hoặc người dùng thông thường có thể thay thế một thư viện phần mềm bằng một thư viện phần mềm của chúng để đạt được khả năng thực thi mã ở cấp hệ điều hành. Điều này có thể đạt được bằng cách sử dụng thư viện tiện ích được PC Doctor sử dụng có tên Common.dll. Vấn đề nằm ở cách xử lý tệp DLL này. Rõ ràng, chương trình không xác thực liệu DLL mà nó sẽ tải có được ký hay không. Cho phép tệp DLL bị thay thế và bị xâm phạm chạy không được kiểm tra là một trong những rủi ro bảo mật nghiêm trọng nhất.
Đáng ngạc nhiên là bên cạnh PC, các hệ thống khác dựa vào PC Doctor làm cơ sở cho các dịch vụ chẩn đoán tương tự cũng có thể dễ bị tấn công. Một số sản phẩm phổ biến nhất bao gồm Chẩn đoán Corsair, chẩn đoán Staples EasyTech, công cụ chẩn đoán Tobii I-Series, v.v.