Las Computadoras Dell Con La Utilidad SupportAssist Son Vulnerables A Los Ataques De Escalamiento De Privilegios De "alta Gravedad"; Se Lanzó Una Actualización De Seguridad Para Windows 10

2023 Autor: Kayla Nelson | [email protected]. Última modificación: 2023-05-24 12:02

Las computadoras Dell que ejecutan el sistema operativo Windows son, según se informa, vulnerables a la vulnerabilidad de seguridad de "alta gravedad". Aparentemente, SupportAssist de Dell, la utilidad que está destinada a ayudar a diagnosticar y resolver problemas, podría permitir a los atacantes obtener el control completo de las PC mediante la ejecución de código no firmado y no aprobado. Al ser consciente de la amenaza a la seguridad, Dell ha lanzado dos parches de seguridad para SupportAssist en otros tantos meses. Sin embargo, los sistemas sin parches continúan siendo vulnerables a los ataques de escalada de privilegios.

Dell acaba de lanzar el segundo parche para el software SupportAssist. El software es esencialmente un conjunto de herramientas que ayuda a diagnosticar problemas y problemas comunes dentro del sistema operativo. La aplicación también ofrece varios métodos para abordar estos problemas. Por cierto, conocido extraoficialmente como bloatware, SupportAssist de Dell está preinstalado en la mayoría de las PC que Dell envía. Desafortunadamente, pocos errores dentro del software pueden permitir que los piratas informáticos pongan en peligro una computadora vulnerable o sin parches.

Para abordar los problemas de seguridad, Dell ha publicado actualizaciones para SupportAssist for Business y SupportAssist for Home. Aparentemente, las vulnerabilidades se encuentran en un componente llamado PC Doctor. El software es un producto popular del proveedor de software de EE. UU. El proveedor es el desarrollador preferido por muchos fabricantes de PC. PC Doctor es esencialmente software de diagnóstico para hardware. Los OEM implementan regularmente el software en las computadoras que venden para monitorear el estado del sistema. No está claro si PC Doctor simplemente busca problemas comunes y ofrece soluciones o ayuda a los OEM a diagnosticar problemas de forma remota.

Dell parcheó silenciosamente la vulnerabilidad de SupportAssist que afectó a millones de usuarios https://t.co/8IvaXbVzOJ por @ jeffstone500 pic.twitter.com/5v074lNXy7

- CyberScoop (@CyberScoopNews) 21 de junio de 2019

SupportAssist se envía con la mayoría de las laptops y computadoras Dell con Windows 10. En abril de este año, Dell lanzó un parche para un error de seguridad grave después de que un investigador de seguridad independiente descubrió que atacantes remotos podrían utilizar la herramienta de soporte para controlar millones de sistemas vulnerables. El error existía en el propio código SupportAssist de Dell. Sin embargo, la vulnerabilidad de seguridad estaba presente dentro de la biblioteca de software de terceros proporcionada por PC Doctor.

Las investigaciones de seguridad descubrieron la falla en el archivo llamado "Common.dll". No está claro de inmediato si tanto SupportAssist como PC Doctor son necesarios para ejecutar el ataque de escalada de privilegios o si solo PC Doctor es suficiente. Sin embargo, los expertos advierten que otros fabricantes de equipos originales, además de Dell, que confían en el software, deben ejecutar un control de seguridad para asegurarse de que sus soluciones no sean vulnerables al ataque.

Dell ya ha emitido un aviso de seguridad después de lanzar el parche. Dell insta encarecidamente a los usuarios de sus PC de marca a actualizar Dell SupportAssist. Dell SupportAssist for Business PC se encuentra actualmente en la versión 2.0 y Dell SupportAssist for Home PC tiene la versión 3.2.1. El parche altera el número de versión después de su instalación.

A pesar de los diferentes números de versión, Dell ha etiquetado la vulnerabilidad de seguridad con un solo código, "CVE-2019-12280". Una vez que se instala el parche, Dell SupportAssist for Business PC obtiene la versión 2.0.1 y la de las PC domésticas sube a la 3.2.2. Todas las versiones anteriores continúan siendo vulnerables a la amenaza potencial.

SupportAssist, que viene preinstalado en millones de computadoras Dell, se basa en una plataforma llamada PC-Doctor y se puede abusar de ella para brindar a los atacantes acceso a nivel de sistema al hardware y software.

- TechRepublic (@TechRepublic) 21 de junio de 2019

¿Cómo funciona el ataque de escalada de privilegios en las computadoras Dell con SupportAssist?

Como se mencionó anteriormente, SupportAssist se envía con la mayoría de las laptops y computadoras Dell que ejecutan Windows 10. En las máquinas Dell con Windows 10, el servicio de alto privilegio llamado "Dell Hardware Support" busca varias bibliotecas de software. Es este privilegio de seguridad y la gran cantidad de solicitudes y aprobaciones predeterminadas de las bibliotecas de software lo que puede ser utilizado por el atacante local para obtener privilegios escalados. Es importante tener en cuenta que, si bien la vulnerabilidad de seguridad anterior podría ser aprovechada por atacantes remotos, el error descubierto más recientemente requiere que el atacante esté en la misma red.

El atacante local o el usuario habitual podrían reemplazar la biblioteca de software con una propia para lograr la ejecución del código a nivel del sistema operativo. Esto se puede lograr utilizando la biblioteca de utilidades utilizada por PC Doctor llamada Common.dll. El problema radica en la forma en que se trata este archivo DLL. Aparentemente, el programa no valida si la DLL que cargará está firmada. Permitir que el archivo DLL reemplazado y comprometido se ejecute sin marcar es uno de los riesgos de seguridad más graves.

Sorprendentemente, además de las PC, otros sistemas que dependen de PC Doctor como base para servicios de diagnóstico similares también podrían ser vulnerables. Algunos de los productos más populares incluyen Corsair Diagnostics, Staples EasyTech diagnostics, herramienta de diagnóstico Tobii I-Series, etc.