Nếu bạn đang sở hữu và sử dụng một chiếc máy tính của Dell, thì hãy cẩn thận – tin tặc có thể tấn công máy tính của bạn từ xa!
Bill Demirkapi, một nhà nghiên cứu bảomật 17 tuổi, đã phát hiện ra lỗ hổng thực thi mã từ xa (RCE) nghiêm trọngtrong phần mềm Dell SupportAssist được cài sẵn trên hầu hết các máy tính Dellmới chạy hệ điều hành Windows.
Phần mềm Dell SupportAssist, tên cũlà Dell System Detect, được thiết kế để chủ độngkiểm tra sức khỏe hệ thống phần cứng cũng cũng như phần mềm trên máy tính củangười dùng.
Tiện ích này được tạo ra để tươngtác với trang web Hỗ trợ của Dell và tự động phát hiện Thẻ dịch vụ hoặc Mã dịchvụ nhanh cho các sản phẩm Dell mà khách hàng sử dụng. Ngoài ra nó cònquét các driver thiết bị hiện có và cài đặt các bản cập nhật driver thiếu hoặccó sẵn, cũng như thực hiện các bài kiểm tra chẩn đoán phần cứng.
Dell SupportAssist hoạt động bằngcách chạy một máy chủ web cục bộ trên hệ thống người dùng, trên cổng 8884,8883, 8886 hoặc cổng 8885 và chấp nhận các lệnh và tham số URL khác nhau để thựchiện một số tác vụ được mặc định trước trên máy tính, ví dụ như thu thậpthông tin chi tiết hệ thống hoặc tải xuống một phần mềm từ máy chủ từ xa vàcài đặt nó trên hệ thống.
Cách các tin tặc khai thác lỗ hổng RCE
Mặc dù dịch vụ web cục bộ đã được bảo vệ bằng tiêu đề phản hồi Access-Control-allow-Origin và chỉ chấp nhận các lệnh từ trang web “dell.com” hoặc tên miền phụ của nó, Demirkapi đã giải thích lỗ hổng của các trình bảo vệ này trong một blog mới đây.
Như trong video, Demirkapi đã trình bày (mã PoC) cách những kẻ tấn công từ xa có thể dễ dàng tải xuống và cài đặt phần mềm độc hại từ máy chủ từ xa để kiểm soát hoàn toàn các máy tính Dell.
Dell cho biết những kẻ tấn công không xác thực sẽ tiến hành chia sẻ lớp truy cập mạng(network access layer) với hệ thống dễ bị tấn công, sau đó lợi dụngSupportAssist Client để chiếm quyền thực thi từ xa trên hệ thống này bằngcách lừa người dùng tải xuống và thực thi các gói lệnh thực thi tùy ý từ cáctrang web của kẻ tấn công.
Lỗ hổng RCE được xác định là CVE-2019-3719, có khả năng ảnh hưởng đến các phiên bản Dell SupportAssist Client trước phiên bản 3.2.0.90.
Trước khi công khai chi tiết về lỗ hổng RCE, Demirkapi đã báo cáo phát hiện của mình cho nhóm bảo mật của Dell và hiện tại Dell đã phát hành phiên bản cập nhật của phần mềm bị lỗi để giải quyết vấn đề này.
Bên cạnh đó, Dell cũng đã vá một lỗ hổng xác thực nguồn gốc không phù hợp (CVE-2019-3718) trong phần mềm SupportAssist trước nguy cơ những kẻ tấn công từ xa không xác thực có thể khai thác lỗ hổng này nhằm tiếp cận CSRF trong hệ thống của người dùng. Những khách hàng sử dụng máy tính Dell nên cài đặt bản cập nhật Dell SupportAssist phiên bản 3.2.0.90 trở lên hoặc nếu có thể, gỡ cài đặt ứng dụng hoàn toàn trước khi tin tặc khai thác lỗ hổng này để kiểm soát hệ thống máy tính của họ.
THN