Lỗ hổng bảo mật trong phần mềm Dell Support ảnh hưởng tới hàng triệu máy tính

Lỗ hổng bảo mật trong phần mềm hỗ trợ cài sẵn trên máy tính Dell

Tiện ích SupportAssist được cài đặt sẵn trên hàng triệu máy tính xách tay và PC của Dell chứa lỗ hổng bảo mật có thể cho phép phần mềm độc hại hoặc người dùng giả mạo (rogue logged-in users) leo thang đặc quyền lên cấp quản trị viên và truy cập vào các thông tin nhạy cảm.

Các nhà nghiên cứu bảo mật tại SafeBreach Labs đã phát hiện ra lỗ hổng mang số hiệu CVE-2019-12280 tồn tại trên hàng triệu máy tính Dell. Lỗ hổng là một vấn đề leo thang đặc quyền và ảnh hưởng đến ứng dụng SupportAssist của Dell cho dòng PC doanh nghiệp (phiên bản 2.0) và PC gia đình (phiên bản 3.2.1 và tất cả các phiên bản trước đó).

Dell SupportAssist, trước đây gọi là Dell System Detect được sử dụng để kiểm tra “sức khỏe” phần cứng và phần mềm của hệ thống máy tính, cảnh báo khách hàng để thực hiện các hành động thích hợp nhằm giải quyết các vấn đề gặp phải. Để thực hiện được thao tác này, Dell SupportAssist được cấp quyền chạy trên máy tính người dùng với quyền cấp độ HỆ THỐNG (SYSTEM-level).

Lỗ hổng bắt nguồn từ đặc quyền của Dell SupportAssist

Với các đặc quyền cấp cao này, Dell SupportAssist có khả năng tương tác với trang web Hỗ trợ (Dell Support website) và tự động phát hiện Service Tag hoặc Express Service Code của sản phẩm. Ngoài ra, Dell SupportAssist cũng có khả năng quét các driver thiết bị hiện có, cài đặt các bản cập nhật driver bị thiếu hoặc có sẵn, đồng thời thực hiện các kiểm tra chẩn đoán phần cứng.

Tuy nhiên, các nhà nghiên cứu tại SafeBreach Labs đã phát hiện ra rằng Dell SupportAssist có khả năng tải các file .dll không an toàn từ các thư mục do người dùng kiểm soát mà khi chạy có thể để lại một điểm “hở” (spot) cho các malware và người dùng giả mạo làm hỏng DLL hiện có hoặc thay thế chúng bằng các tệp độc hại.

tấn công máy tính Dell

Do đó, khi SupportAssist tải các DLL bị nhiễm độc thì mã độc sẽ được đưa vào chương trình và thực thi trong ngữ cảnh của quản trị viên, bởi vậy kẻ tấn công có thể dễ dàng giành quyền kiểm soát hoàn toàn hệ thống được nhắm mục tiêu.

Lỗ hổng ảnh hưởng tới hàng triệu người dùng trên toàn thế giới

Theo công bố chính thức trên trang web của Dell thì SupportAssist hiện được cài đặt sẵn trên hầu hết các thiết bị Dell chạy hệ điều hành Windows. Các nhà nghiên cứu cho biết, điều này có nghĩa lỗ hổng sẽ ảnh hưởng đến hàng triệu người dùng Dell PC.

Điều đáng lo ngại ở đây là gì? Các nhà nghiên cứu tin rằng Dell không phải là công ty duy nhất có các dòng PC bị ảnh hưởng bởi vấn đề bảo mật này.

Do Dell SupportAssist được viết và duy trì bởi công ty chẩn đoán và hỗ trợ khách hàng có trụ sở tại Nevada, nên các nhà sản xuất PC khác sử dụng cùng bộ công cụ chẩn đoán và khắc phục sự cố trên các dòng máy tính của họ cũng sẽ chịu ảnh hưởng của lỗ hổng bảo mật này.

Lỗ hổng ảnh hưởng tới các dòng PC khác ngoài Dell

Sau khi SafeBreach Labs gửi các chi tiết về lỗ hổng cho Dell, thì các nhà nghiên cứu lại tiếp tục phát hiện ra rằng lỗ hổng này ảnh hưởng đến cả các OEM bổ sung sử dụng một phiên bản đổi thương hiệu (rebranded version) của PC-Doctor Toolbox cho các thành phần của phần mềm Windows.

Ngoài ra, theo trang web PC-Doctor thì các nhà sản xuất PC đã cài đặt sẵn hơn 100 triệu bản PC-Doctor cho Windows trên các hệ thống máy tính trên toàn thế giới. Điều đó có nghĩa là lỗ hổng này cũng ảnh hưởng đến các OEM khác dựa trên PC-Doctor để khắc phục sự cố của các tool chuyên biệt.

Do phần mềm SupportAssist của Dell sử dụng signed drivers của PC-Doctor để truy cập bộ nhớ và phần cứng cấp thấp nên các nhà nghiên cứu đã mô phỏng tương tự như PoC cho lỗ hổng này khi đọc nội dung của một địa chỉ bộ nhớ vật lý tùy ý (arbitrary physical memory address).

SafeBreach Labs đã báo cáo lỗ hổng cho Dell vào ngày 29 tháng 4 năm 2019 và công ty sau đó đã báo cáo vấn đề với PC Doctor, cũng như phát hành bản sửa lỗi do PC-Doctor vào ngày 28 tháng 5 cho các phiên bản SupportAssist bị ảnh hưởng.

Người dùng của các dòng PC doanh nghiệp và PC gia đình của Dell được khuyến nghị cập nhật phần mềm Dell SupportAssist cho Business PC phiên bản 2.0.1 và Dell SupportAssist cho Home PC phiên bản 3.2.2.

Thực tế là đây cũng không phải lần đầu tiên Dell SupportAssist bị ảnh hưởng bởi các lỗ hổng bảo mật nghiêm trọng.

Vào tháng Tư năm nay, Dell cũng đã giải quyết một lỗ hổng RCE quan trọng trong tiện ích SupportAssist cho phép kẻ tấn công tải xuống và cài đặt phần mềm độc hại từ một máy chủ từ xa trên các máy tính Dell bị ảnh hưởng và kiểm soát hoàn toàn chúng.

THN