Dell-computers kwetsbaar door lekken in Support Assist

[Captain Kirk]

Een programma dat op veel Dell-computers standaard staat geïnstalleerd bevat twee beveiligingslekken waardoor aanvallers in bepaalde gevallen kwetsbare systemen kunnen overnemen. Dell heeft inmiddels een beveiligingsupdate uitgebracht en adviseert gebruikers om zo snel als mogelijk te updaten.

Het gaat om Dell Support Assist, dat proactief de status van de hardware en software op het systeem controleert. Het kan onder andere automatisch beschikbare drivers installeren. Beveiligingsonderzoeker Bill Demirkapi ontdekte dat het in bepaalde gevallen mogelijk is om via Support Assist automatisch kwaadaardige software op het systeem van het slachtoffer te installeren.

Voorwaarde is wel dat een aanvaller op hetzelfde netwerk als het slachtoffer zit of op afstand het dns-verkeer van het slachtoffer kan omleiden, bijvoorbeeld door de router te compromitteren. Daarnaast moet het slachtoffer een website van de aanvaller bezoeken. Vervolgens zal Support Assist de kwaadaardige code van de aanvaller op het systeem uitvoeren. De tweede kwetsbaarheid werd door onderzoeker John C. Hennessy-ReCar ontdekt. Via het lek kan een aanvaller op afstand cross-site request forgery (CSRF) aanvallen tegen de gebruiker uitvoeren.

Bij een CSRF-aanval worden kwaadaardige acties vanuit de browser van de gebruiker uitgevoerd. Daardoor lijkt het voor een applicatie dat het de gebruiker is die de acties uitvoert, terwijl het in werkelijkheid om acties van een aanvaller gaat. Om de aanval uit te voeren moet een slachtoffer wel eerst een malafide link of website openen. Dell heeft Support Assist 3.2.0.90 uitgebracht om de kwetsbaarheden te verhelpen. In onderstaande video demonstreert Demirkapi de aanval.

 

 

bron: security.nl