Des millions de PC Dell vulnérables aux attaques : corrigez maintenant

Des millions de PC Dell vulnérables aux attaques : corrigez maintenant

Nouvelles

MISE À JOUR avec commentaire de Dell et informations supplémentaires de SafeBreach.

Selon un nouveau rapport de SafeBreach basé à Sunnyvale, en Californie, des millions d'ordinateurs Dell exécutant Windows, et peut-être de nombreux autres ordinateurs fabriqués par d'autres marques, sont vulnérables à une faille dans leur logiciel interne de santé du système qui pourrait permettre aux pirates de prendre le contrôle des machines. .

Sur les machines Dell, le logiciel s'appelle SupportAssist. Il est fabriqué par PC-Doctor, un fabricant de logiciels de diagnostic matériel qui concède sous licence son logiciel à d'autres fabricants d'appareils électroniques.

Les chercheurs de SafeBreach ont déclaré que PC-Doctor avait refusé de leur donner une liste de ses autres clients, mais le site PC-Doctor déclare que 'les principaux fabricants ont installé plus de 100 millions d'exemplaires de PC-Doctor pour Windows sur des systèmes informatiques dans le monde entier'.

Dell et PC-Doctor ont publié une mise à jour du micrologiciel qui résout ce problème, que vous pouvez installer en suivant les instructions sur Page d'assistance de Dell pour la faille SupportAssist . Cependant, vous devrez peut-être attendre plus d'informations concernant les appareils fabriqués par d'autres titulaires de licence du logiciel PC-Doctor.

SUITE: Meilleur antivirus Windows

La fonction SupportAssist est vulnérable car elle ne gère pas de manière sécurisée les référentiels de code partagé appelés DLL. Pour éviter la duplication, les systèmes d'exploitation modernes stockent des morceaux de code utilisés par de nombreux programmes dans des référentiels communs appelés bibliothèques de liens directs, abrégés en DLL sous Windows ou dylibs sous macOS.

Les programmes chargent les fichiers DLL lorsqu'ils démarrent, mais les attaquants peuvent définir des pièges en corrompant les DLL existantes ou en remplaçant les fichiers DLL malveillants, qui injectent ensuite du code malveillant dans les programmes qui utilisent ces DLL. La plupart des programmes ont des moyens d'empêcher de telles ' Injection de DLL ', mais Dell SupportAssist ne le fait manifestement pas, car c'est ainsi que les chercheurs de SafeBreach ont pu l'attaquer.

Étant donné que SupportAssist s'exécute en tant que SYSTEM, il a des crochets très profonds dans le système d'exploitation, et le détournement de ses fonctions permettrait à un attaquant de faire pratiquement n'importe quoi sur la machine, en particulier parce qu'il s'agit d'un service 'signé' reconnu comme sûr par Microsoft.

Malheureusement, le logiciel crée une porte ouverte pour les attaquants car il recherche quelques DLL qui ne se trouvaient pas sur les machines Dell utilisées par l'équipe SafeBreach : AlienFX.dll, atiadlxx.dll, atiadlxy.dll et LenovoInfo.dll.

Le dernier est intéressant car une machine Dell ne devrait pas contenir de fichier appelé 'LenovoInfo.dll'. Cela peut être un indice sur l'identité de l'un des autres clients de PC-Doctor. 'AlienFX.dll' a plus de sens car Dell possède le fabricant de PC de jeu Alienware.

Quoi qu'il en soit, comme aucune de ces DLL n'existait réellement sur les machines de test, les chercheurs de SafeBreach ont simplement créé leurs propres fichiers et leur ont donné les noms des fichiers manquants. Et voilà, Dell SupportAssist a chargé ces fichiers et exécuté leur code, sans vérifier qui a créé les fichiers ni où ils se trouvaient dans le système.

SafeBreach a déclaré que Dell SupportAssist, et vraisemblablement PC-Doctor, pourrait atténuer ce problème en n'autorisant que les DLL qui ont été 'signées' par les fabricants de logiciels autorisés, et en limitant les recherches de DLL aux seuls dossiers où des DLL spécifiques sont censées se trouver.

SafeBreach a signalé cette vulnérabilité à Dell le 29 avril, et Dell l'a à son tour renvoyée à PC-Doctor, qui a répertorié la vulnérabilité dans la base de données commune des vulnérabilités sous le nom CVE-2019-12280.

METTRE À JOUR: Dell a contacté Tom's Guide pour déclarer que 'Dell SupportAssist n'est pas fabriqué par PC-Doctor'. La vulnérabilité découverte par SafeBreach est une vulnérabilité PC-Doctor, qui est un composant tiers fourni avec Dell SupportAssist pour PC.'

Plus de 90 % des clients à ce jour ont reçu la mise à jour, publiée le 28 mai 2019, et ne sont plus à risque. Dell SupportAssist se met à jour automatiquement si les mises à jour automatiques sont activées, et la plupart des clients ont activé les mises à jour automatiques.'

SafeBreach a publié une version mise à jour de ses conclusions avec des informations selon lesquelles plusieurs autres logiciels étaient vulnérables : la PC-Doctor Toolbox pour Windows susmentionnée et d'autres versions qui, selon SafeBreach, avaient été 'rebaptisées' Corsair One Diagnostics, Corsair Diagnostics, Staples Easy Tech Diagnostics, outil de diagnostic Tobii I-Series et outil de diagnostic Tobii Dynavox.

Image credit:Antenne Centreazine

Guide des ordinateurs portables Dell

  • Conseil précédent
  • Prochain conseil