Nội dung
Tiện ích SupportAssist được cài đặt sẵn trên hàng triệu máy tính xách tay và PC của Dell chứa lỗ hổng bảo mật có thể cho phép phần mềm độc hại hoặc người dùng giả mạo (rogue logged-in users) leo thang đặc quyền lên cấp quản trị viên và truy cập vào các thông tin nhạy cảm.
Các nhà nghiên cứu bảo mật tại SafeBreach Labs đã phát hiện ra lỗ hổng mang số hiệu CVE-2019-12280 tồn tại trên hàng triệu máy tính Dell. Lỗ hổng là một vấn đề leo thang đặc quyền và ảnh hưởng đến ứng dụng SupportAssist của Dell cho dòng PC doanh nghiệp (phiên bản 2.0) và PC gia đình (phiên bản 3.2.1 và tất cả các phiên bản trước đó).
Dell SupportAssist, trước đây gọi là Dell System Detect đượcsử dụng để kiểm tra “sức khỏe” phần cứng và phần mềm của hệ thống máy tính, cảnhbáo khách hàng để thực hiện các hành động thích hợp nhằm giải quyết các vấn đềgặp phải. Để thực hiện được thao tác này, Dell SupportAssist được cấp quyền chạytrên máy tính người dùng với quyền cấp độ HỆ THỐNG (SYSTEM-level).
Lỗ hổng bắt nguồn từ đặc quyền của Dell SupportAssist
Với các đặc quyền cấp cao này, Dell SupportAssist có khảnăng tương tác với trang web Hỗ trợ (Dell Support website) và tự động phát hiệnService Tag hoặc Express Service Code của sản phẩm. Ngoài ra, DellSupportAssist cũng có khả năng quét các driver thiết bị hiện có, cài đặt các bảncập nhật driver bị thiếu hoặc có sẵn, đồng thời thực hiện các kiểm tra chẩnđoán phần cứng.
Tuy nhiên, các nhà nghiên cứu tại SafeBreach Labs đã phát hiệnra rằng Dell SupportAssist có khả năng tải các file .dll không an toàn từ các thưmục do người dùng kiểm soát mà khi chạy có thể để lại một điểm “hở” (spot) cho cácmalware và người dùng giả mạo làm hỏng DLL hiện có hoặc thay thế chúng bằng cáctệp độc hại.
Do đó, khi SupportAssist tải các DLL bị nhiễm độc thì mã độcsẽ được đưa vào chương trình và thực thi trong ngữ cảnh của quản trị viên, bởivậy kẻ tấn công có thể dễ dàng giành quyền kiểm soát hoàn toàn hệ thống được nhắmmục tiêu.
Lỗ hổng ảnh hưởng tới hàng triệu người dùng trên toàn thế giới
Theo công bố chính thức trên trang web của Dell thìSupportAssist hiện được cài đặt sẵn trên hầu hết các thiết bị Dell chạy hệ điềuhành Windows. Các nhà nghiên cứu cho biết, điều này có nghĩa lỗ hổng sẽ ảnh hưởngđến hàng triệu người dùng Dell PC.
Điều đáng lo ngại ở đây là gì? Các nhà nghiên cứu tin rằngDell không phải là công ty duy nhất có các dòng PC bị ảnh hưởng bởi vấn đề bảomật này.
Do Dell SupportAssist được viết và duy trì bởi công ty chẩnđoán và hỗ trợ khách hàng có trụ sở tại Nevada, nên các nhà sản xuất PC khác sửdụng cùng bộ công cụ chẩn đoán và khắc phục sự cố trên các dòng máy tính của họcũng sẽ chịu ảnh hưởng của lỗ hổng bảo mật này.
Lỗ hổng ảnh hưởng tới các dòng PC khác ngoài Dell
Sau khi SafeBreach Labs gửi các chi tiết về lỗ hổng choDell, thì các nhà nghiên cứu lại tiếp tục phát hiện ra rằng lỗ hổng này ảnh hưởngđến cả các OEM bổ sung sử dụng một phiên bản đổi thương hiệu (rebranded version)của PC-Doctor Toolbox cho các thành phần của phần mềm Windows.
Ngoài ra, theo trang web PC-Doctor thì các nhà sản xuất PC đã cài đặt sẵn hơn 100 triệu bản PC-Doctor cho Windows trên các hệ thống máy tính trên toàn thế giới. Điều đó có nghĩa là lỗ hổng này cũng ảnh hưởng đến các OEM khác dựa trên PC-Doctor để khắc phục sự cố của các tool chuyên biệt.
Do phần mềm SupportAssist của Dell sử dụng signed drivers củaPC-Doctor để truy cập bộ nhớ và phần cứng cấp thấp nên các nhà nghiên cứu đã môphỏng tương tự như PoC cho lỗ hổng này khi đọc nội dung của một địa chỉ bộ nhớvật lý tùy ý (arbitrary physical memory address).
SafeBreach Labs đã báo cáo lỗ hổng cho Dell vào ngày 29tháng 4 năm 2019 và công ty sau đó đã báo cáo vấn đề với PC Doctor, cũng như pháthành bản sửa lỗi do PC-Doctor vào ngày 28 tháng 5 cho các phiên bảnSupportAssist bị ảnh hưởng.
Người dùng của các dòng PC doanh nghiệp và PC gia đình củaDell được khuyến nghị cập nhật phần mềm Dell SupportAssist cho Business PCphiên bản 2.0.1 và Dell SupportAssist cho Home PC phiên bản 3.2.2.
Thực tế là đây cũng không phải lần đầu tiên DellSupportAssist bị ảnh hưởng bởi các lỗ hổng bảo mật nghiêm trọng.
Vào tháng Tư năm nay, Dell cũng đã giải quyết một lỗ hổng RCE quan trọng trong tiện ích SupportAssist cho phép kẻ tấn công tải xuống và cài đặt phần mềm độc hại từ một máy chủ từ xa trên các máy tính Dell bị ảnh hưởng và kiểm soát hoàn toàn chúng.
THN