Expertos en seguridad han descubierto una falla en el software Dell SupportAssist, el cual viene preinstalado en la mayoría de los PC´s de la compañía, afectado por una vulnerabilidad de secuestro de DLL definida como CVE-2019-12280, que al ser explotada por un atacante permitiría ejecutar código arbitrario con privilegios elevados al registrar DLL’s manipuladas en el sistema.
SupportAssist es una herramienta que se usa para verificar el estado del hardware y software de los sistemas, cuando se detecta algún problema, envía la información del estado del sistema necesaria a Dell para dar con un posible solución del problema.
Las comprobaciones requieren privilegios elevados porque muchos servicios se ejecutan con permisos de sistema. SupportAssist aprovecha un componente desarrollado por la compañía PC-Doctor que permite acceder a hardware sensible de bajo nivel, es decir, memoria física, PCI y SMBios, entre otros; justo después de que se inicia el servicio de soporte de hardware de Dell, se ejecuta DSAPI.exe, que a su vez ejecuta pcdrwi.exe. Ambos ejecutables requieren privilegios de sistema.
Los ejecutables son archivos PE normales con la extensión - "p5x". Tres de los ejecutables p5x intentan encontrar los siguientes archivos DLL en la variable de entorno PATH del usuario: LenovoInfo.dll, AlienFX.dll, atiadlxx.dll, atiadlxy.dll. En resumen, el ataque fue posible y permitió escalar privilegios a un usuario para escribir en un archivo DLL y ejecutar código malicioso en el sistema.
Dell abordó la vulnerabilidad a fines de mayo con el lanzamiento de SupportAssist for Business 2.0.1 y SupportAssist for Home PCs 3.2.2. Los usuarios debieran recibir las actualizaciones automáticamente ya que cuenta con la configuración predeterminada para actualizar el software.
PC-Doctor está preinstalado en más de 100 millones de computadoras en todo el mundo, lo que implica que la magnitud del problema podría ser enorme. La investigación demostró que el componente defectuoso también está presente en las herramientas de diagnóstico CORSAIR Diagnostics, Staples EasyTech Diagnostics y Tobii I-Series y Tobii Dynavox.
REFERENCIA
COMENTARIOS