E’ stata riscontrata una importante vulnerabilità sui sistemi di supporto hardware Dell di PC-Doctor. Tale vulnerabilità consente agli aggressori di estendere i privilegi e ottenere l’accesso permanente al dispositivo.
Dell SupportAssist è un software preinstallato su centinaia di milioni di PC Dell che aiuta a verificare la lo stato del software e dell’hardware del pc e che per effettuare tali controlli richiede un’autorizzazione di livello superiore.
SupportAssist sfrutta un componente sviluppato da PC-Doctor per accedere a parti hardware sensibili tra cui RAM, PCI, SMBios ed è preinstallato sulla maggior parte dei dispositivi Dell che eseguono Windows.
Vulnerabilità legata al dirottamento della DLL
Una volta che il servizio di supporto hardware di Dell inizia a essere eseguito su Windows, esegue il DSAPI.exe che a sua volta esegue pcdrwi.exe. Dopo l’avvio di questo processo, tutti gli eseguibili caricano le librerie DLL che raccolgono tutte le informazioni sensibili del sistema da hardware e software.
“il c: \ python27 ha un ACL che consente a qualsiasi utente autenticato di scrivere file nell’ACL. Ciò semplifica l’escalation dei privilegi e consente a un utente normale di scrivere il file DLL mancante e ottenere l’esecuzione del codice come SYSTEM. “
I codici PC-Doctor e i moduli p5x utilizzano principalmente una libreria di utilità denominata Common.dll che fornisce le varie funzioni importanti inclusa l’opzione per caricare un file DLL. Ci sono due modalità per sfruttare tale vulnerabilità:
1. La mancanza di safe load della DLL. Il codice utilizza LoadLibraryW, invece di utilizzare LoadLibraryExW; ciò consente a un utente non autorizzato di definire l’ordine di ricerca utilizzando determinati flag, come LOAD_LIBRARY_SEARCH_DLL_LOAD_DIR. Questo, a sua volta, cerca la DLL solo nella propria cartella, evitando la ricerca della DLL nella variabile PATH.
2. Nessuna convalida del certificato digitale viene effettuata sul codice binario. Il programma non effettuerà alcun controllo sulla DLL firmata. Pertanto potrà caricare anche una DLL non firmata arbitraria.
Questa vulnerabilità critica porta al dirottamento della DLL e consente agli aggressori di caricare ed eseguire payload dannosi mediante certificato firmato “abusivamente”.
“I ricercatori hanno scoperto che questa vulnerabilità interessa OEM aggiuntivi che utilizzano una versione rinominata del PC-Doctor Toolbox per componenti software di Windows”
Dell ha rilasciato SupportAssist for Business 2.0.1 e Home PC 3.2.2 con la patch per questa vulnerabilità e gli utenti riceveranno l’aggiornamento automatico se hanno prontamente impostato il sistema di auto-aggiornamento. In caso contrario dovranno eseguire il download direttamente dal sito della casa madre.
Fonte: Link GBhackers
