Bill Demirkapi, un investigador de seguridad independiente de 17 años, descubrió una vulnerabilidad crítica de ejecución remota de código en la utilidad Dell SupportAssist que viene preinstalada en la mayoría de las computadoras Dell .

Dell SupportAssist , anteriormente conocido como Dell System Detect , verifica el estado del hardware y el software de su computadora.

La utilidad ha sido diseñada para interactuar con el sitio web de asistencia de Dell y detectar automáticamente la etiqueta de servicio o el código de servicio rápido de su producto Dell, escanear los controladores de dispositivos existentes e instalar actualizaciones de controladores faltantes o disponibles, así como realizar pruebas de diagnóstico de hardware.

Si se pregunta cómo funciona, Dell SupportAssist en segundo plano ejecuta un servidor web localmente en el sistema de usuario, ya sea en los puertos 8884, 8883, 8886 o 8885, y acepta varios comandos como parámetros de URL para realizar tareas predefinidas en La computadora, como recopilar información detallada del sistema o descargar un software desde un servidor remoto e instalarlo en el sistema.

Aunque el servicio web local ha sido protegido utilizando el encabezado de respuesta «Access-Control-Allow-Origin» y tiene algunas validaciones que lo restringen para aceptar comandos solo desde el sitio web «dell.com» o sus subdominios, Demirkapi explicó las formas de evitar estos Protecciones en una entrada de blog publicada el miércoles.

 

dell supportassist hack

Como se muestra en el video, Demirkapi demostró [ código PoC ] cómo los piratas informáticos remotos podrían haber descargado e instalado fácilmente el malware de un servidor remoto en las computadoras Dell afectadas para tomar control total sobre ellos.

«Un atacante no autenticado, que comparte la capa de acceso a la red con el sistema vulnerable, puede comprometer al sistema vulnerable engañando a un usuario víctima para que descargue y ejecute ejecutables arbitrarios a través del cliente SupportAssist desde los sitios hospedados por el atacante», dijo la compañía multinacional de tecnología informática Dell en un aviso .

La vulnerabilidad de ejecución remota de código, identificada como CVE-2019-3719, afecta a las versiones de Dell SupportAssist Client anteriores a la versión 3.2.0.90.

Antes de publicar los detalles de la vulnerabilidad en público, el investigador informó de manera responsable de sus hallazgos al equipo de seguridad de Dell, que ahora lanzó una versión actualizada del software afectado para solucionar el problema.

 

 

Además de este problema, Dell también solucionó una vulnerabilidad de validación de origen incorrecta (CVE-2019-3718) en el software SupportAssist que podría haber permitido a un atacante remoto no autenticado intentar ataques CSRF en los sistemas de los usuarios.

Se recomienda a los usuarios de Dell que instalen Dell SupportAssist 3.2.0.90 actualizado o posterior, o simplemente desinstalen la aplicación, si no es necesario, antes de que los piratas informáticos intenten explotar las debilidades para controlar totalmente sus sistemas informáticos.

Fuente: thehackernews.com

Compartir