BIJGEWERKT met commentaar van Dell en extra informatie van SafeBreach.
Miljoenen Dell-computers met Windows, en mogelijk nog veel meer computers van andere merken, zijn kwetsbaar voor een fout in hun interne systeemgezondheidssoftware waardoor hackers de machines kunnen overnemen, volgens een nieuw rapport van SafeBreach uit Sunnyvale, Californië. .
Op Dell-machines wordt de software SupportAssist genoemd. Het is gemaakt door PC-Doctor, een maker van hardware-diagnosesoftware die zijn software in licentie geeft aan andere fabrikanten van elektronische apparaten.
De SafeBreach-onderzoekers zeiden dat PC-Doctor weigerde hen een lijst van andere klanten te geven, maar op de website van PC-Doctor staat dat "toonaangevende fabrikanten wereldwijd meer dan 100 miljoen exemplaren van PC-Doctor voor Windows op computersystemen hebben geïnstalleerd."
Dell en PC-Doctor hebben een firmware-update uitgebracht die dit probleem verhelpt, die u kunt installeren volgens de instructies op de ondersteuningspagina van Dell voor de SupportAssist-fout. Het kan echter zijn dat u moet wachten op meer informatie over apparaten die zijn gemaakt door andere licentiehouders van PC-Doctor-software.
De SupportAssist-functie is kwetsbaar omdat deze niet veilig omgaat met opslagplaatsen met gedeelde code die bekend staan als DLL's. Om duplicatie te voorkomen, slaan moderne besturingssystemen stukjes code op die door veel programma's worden gebruikt in gemeenschappelijke repositories die direct link-bibliotheken worden genoemd, afgekort als DLL's in Windows of dylibs in macOS.
Programma's laden DLL-bestanden wanneer ze opstarten, maar aanvallers kunnen vallen instellen door bestaande DLL's te beschadigen of schadelijke DLL-bestanden te vervangen, die vervolgens schadelijke code injecteren in programma's die deze DLL's gebruiken. De meeste programma's hebben manieren om zo'n "DLL-injectie" te voorkomen, maar Dell SupportAssist doet dat duidelijk niet, want zo konden de SafeBreach-onderzoekers het aanvallen.
Omdat SupportAssist als SYSTEEM wordt uitgevoerd, heeft het zeer diepe haken in het besturingssysteem, en het kapen van zijn functies zou een aanvaller vrijwel alles op de machine laten doen - vooral omdat het een "ondertekende" service is die door Microsoft als veilig wordt erkend.
Helaas creëert de software een open deur voor aanvallers omdat het zoekt naar een paar DLL's die niet op de Dell-machines stonden die het SafeBreach-team gebruikte: AlienFX.dll, atiadlxx.dll, atiadlxy.dll en LenovoInfo.dll.
De laatste is interessant omdat een Dell-machine geen bestand met de naam "LenovoInfo.dll" mag bevatten. Dat kan een aanwijzing zijn voor de identiteit van een van de andere klanten van PC-Doctor. "AlienFX.dll" is logischer omdat Dell eigenaar is van Alienware, de maker van gaming-pc's.
Hoe dan ook, omdat geen van die DLL's daadwerkelijk op de testmachines bestond, maakten de SafeBreach-onderzoekers gewoon hun eigen bestanden en gaven ze de namen van de ontbrekende bestanden. Kijk eens aan, Dell SupportAssist heeft die bestanden geladen en hun code uitgevoerd, zonder te controleren wie de bestanden heeft gemaakt of waar ze zich in het systeem bevonden.
SafeBreach zei dat Dell SupportAssist, en vermoedelijk PC-Doctor, dit probleem zou kunnen verminderen door alleen DLL's toe te staan die zijn "ondertekend" door geautoriseerde softwaremakers, en door het zoeken naar DLL's te beperken tot alleen die mappen waar specifieke DLL's zouden moeten zijn.
SafeBreach meldde deze kwetsbaarheid op 29 april aan Dell, en Dell verwees het op zijn beurt door naar PC-Doctor, die de kwetsbaarheid in de algemene kwetsbaarheidsdatabase vermeldde als CVE-2019-12280.
UPDATE: Dell nam contact op met Tom's Guide om te verklaren dat "Dell SupportAssist niet is gemaakt door PC-Doctor. De kwetsbaarheid die door SafeBreach is ontdekt, is een kwetsbaarheid van PC-Doctor, een onderdeel van een derde partij dat wordt geleverd met Dell SupportAssist voor pc's."
"Tot nu toe heeft meer dan 90% van de klanten de update ontvangen, uitgebracht op 28 mei 2022-2023, en lopen ze geen risico meer. Dell SupportAssist werkt automatisch bij als automatische updates zijn ingeschakeld en de meeste klanten hebben automatische updates ingeschakeld."
SafeBreach plaatste een bijgewerkte versie van zijn bevindingen met de informatie dat verschillende andere stukjes software kwetsbaar waren: de eerder genoemde PC-Doctor Toolbox voor Windows en andere versies die volgens SafeBreach "omgedoopt" waren tot Corsair One Diagnostics, Corsair Diagnostics, Staples Easy Tech Diagnostics, Tobii I-Series Diagnostic Tool en Tobii Dynavox Diagnostic Tool.
Afbeelding tegoed: ReviewsExpert.netazine
Dell Laptop-handleiding
- Vorige tip
- Volgende tip
- Beste Dell-laptops en Chromebooks
- Bekijk hoe Dell zich verhoudt tot andere laptopmerken
- Beoordeling en rapportkaart voor technische ondersteuning van Dell
- Wat zit er in de garantie van Dell?