SupportAssist da DELL permite controle remoto da máquina com RCE e CSRF



Falhas no SupportAssist da DELL permite controle remoto da máquina. Duas falhas de alta gravidade na ferramenta de suporte ao cliente da Dell, o SupportAssist Client, podem permitir a execução remota de código (RCE) e ataques de falsificação de solicitações entre sites (CSRF).


O SupportAssist ajuda os usuários a remover vírus ou detectar problemas de segurança em seus PCs e vem pré-instalado na maioria dos novos dispositivos Dell.


O Dell SupportAssist Client foi atualizado para resolver várias vulnerabilidades que podem ser potencialmente exploradas para comprometer o sistema”, de acordo com o alerta de segurança da Dell . Ambas as falhas afetam as versões do Dell SupportAssist Client anteriores a 3.2.0.90.


Vulnerabilidade de Execução Remota de Código (CVE-2019-3719)


A falha RCE ( CVE-2019-3719 ) tem uma pontuação CVSS de 8, tornando-a de alta severidade. Um invasor pode comprometer a vulnerabilidade enganando o usuário para que baixe e execute executáveis ​​arbitrários através do seu cliente SupportAssist de sites hospedados pelo invasor, informou a Dell. Um invasor não autenticado poderia explorar a falha – mas precisaria compartilhar a camada de acesso à rede com o sistema vulnerável.


As versões do Dell SupportAssist Client anteriores a 3.2.0.90 contêm uma vulnerabilidade de execução remota de código. Um invasor não autenticado, compartilhando a camada de acesso à rede com o sistema vulnerável, pode comprometer o sistema vulnerável enganando o usuário vítima para fazer o download e executar executáveis ​​arbitrários por meio do cliente SupportAssist de sites hospedados pelo invasor.


O pesquisador que descobriu a falha, Bill Demirkapi, de 17 anos, publicou a prova de conceito e uma demonstração (abaixo) do ataque .


Essencialmente, existe uma verificação de integridade importante no SupportAssist chamada ClientServiceHandler.ProcessRequest, que é onde o servidor verifica se as solicitações são realmente da Dell.


Isso permitiu que o Demirkapi “gerasse um nome de subdomínio aleatório e usasse uma máquina externa para o DNS [servidor de nome de domínio] – sequestraria a vítima. Então, quando a vítima solicita [random] .dell.com, nós respondemos com o nosso servidor ”, disse ele.

Isso significa que, se um usuário do sistema da Dell acessar um site mal-intencionado, o SupportAssist poderá ser induzido a baixar arquivos com malware e executá-los no dispositivo. Demirkapi disse que inicialmente notificou a Dell sobre a falha 26 de outubro de 2018. A falha foi corrigida em 18 de abril, e a divulgação pública do PoC foi divulgada na semana passada.


Validação de Origem Imprópria (CVE-2019-3718)


A vulnerabilidade de validação de origem imprópria ( CVE-2019-3718 ) com uma classificação de 8,8, tornando-a também uma vulnerabilidade de alta gravidade.


As versões do Dell SupportAssist Client anteriores a 3.2.0.90 contêm uma vulnerabilidade de validação de origem incorreta. Um invasor remoto não autenticado pode potencialmente explorar essa vulnerabilidade para tentar ataques CSRF aos usuários dos sistemas afetados.


O bug, descoberto por John C. Hennessy-ReCar, pode ser explorado por um invasor remoto não autenticado que pode lançar ataques CSRF nos usuários dos sistemas afetados. O CSRF permite que um invasor envie comandos mal-intencionados de um site para outro usando as credenciais de um usuário no qual o site de destino confia. Mais detalhes sobre a falha não foram disponibilizados.


Dell se isenta da responsabilidade


Em seu site, a Dell recomenda “que todos os usuários determinem a aplicabilidade dessas informações em suas situações individuais e tomem as medidas adequadas“, e  Dell complementa dizendo que “as informações contidas são fornecidas “como estão” sem garantia de qualquer tipo.


No entanto o texto segue com uma declaração de isenção de responsabilidade onde a Dell afirma que “se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização, adequação a uma finalidade específica, título e não violação. Em nenhum caso, a Dell ou seus fornecedores serão responsáveis ​​por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, lucros cessantes ou especiais, mesmo que a Dell ou seus fornecedores tenham sido avisados ​​da possibilidade de tais danos.


Fonte: Dell

20 visualizações
  • Twitter Ksecurity
  • Branca Ícone LinkedIn
  • White Facebook Icon

© 2019 by KSecurity - Todos os Direitos Reservados

FALE COM A K