I computer Dell con sistema operativo Windows sono potenzialmente esposti ad attacchi di tipo RCE (Remote Code Execution) a causa di una vulnerabilità presente nel software di assistenza remota SupportAssist preinstallato di fabbrica.
La vulnerabilità, scoperta dal ricercatore di sicurezza Bill Demirkapi, potrebbe consentire ad un potenziale aggressore di accedere da remoto ai computer Dell, eseguire codice malevole per prenderne il controllo e successivamente scaricare e installare malware camuffati da aggiornamenti ufficiali rilasciati mediante il tool SupportAssist.
Indice degli argomenti
I dettagli della vulnerabilità
Il software di assistenza remota Dell SupportAssist, precedentemente distribuito con il nome di Dell System Detect, serve a controllare lo stato di salute dell’hardware e del software installati nei computer Dell.
L’utility, in particolare, è stata progettate per interagire con il sito del supporto online di Dell, rilevare automaticamente il numero di matricola del computer oppure l’Express Service Code del prodotto, eseguire la scansione dei driver dei dispositivi esistenti e installare gli aggiornamenti mancanti o disponibili, nonché eseguire test diagnostici dell’hardware.
Per farlo, il tool Dell SupportAssist avvia sul sistema dell’utente un server Web locale (System.Net.HttpListener) che, attraverso le porte di comunicazione 8883, 8884, 8885 e 8886, è in grado di ricevere vari comandi come parametri di URL preimpostate per eseguire alcune attività predefinite sul computer, come la raccolta di informazioni dettagliate sul sistema o il download di un software dal server remoto e la successiva installazione sul sistema.
Sebbene il server Web sia stato progettato per accettare comandi esclusivamente dal sito Web “dell.com” o dai suoi sottodomini, Demirkapi ha dimostrato in un video pubblicato sul suo blog personale come aggirare queste protezioni, pubblicando anche un dettagliato Proof of Concept (PoC).
In pratica, il ricercatore ha individuato la vulnerabilità nel modulo ClientServiceHandler.ProcessRequest utilizzato dal tool SupportAssist per effettuare alcuni controlli di integrità e verificare che la richiesta di assistenza e supporto provenga effettivamente da un sistema Dell.
Ad un eventuale aggressore basterebbe aggirare le protezioni implementate da Dell per riuscire a scaricare ed eseguire codice dannoso da un server remoto sotto il suo controllo.
Per farlo, potrebbe ad esempio trovare e sfruttare una vulnerabilità di tipo Cross Site Scripting in uno qualsiasi dei siti Web di Dell utilizzati dal tool SupportAssist oppure generare un nome casuale di sottodominio e dirottare la richiesta di assistenza del PC della vittima su un server malevolo mediante un’operazione di DNS Hijacking.
Dell SupportAssist: ecco come difendersi dalla vulnerabilità
La vulnerabilità nel tool Dell SupportAssist è stata identificata come CVE-2019-3719 ed è stata classificata con un punteggio di base CVSSv3 di 8.0 assegnato dal National Vulnerability Database (NVD).
Dell, da parte sua, ha aggiornato il software SupportAssist nei giorni scorsi a seguito di un rapporto iniziale ricevuto dal ricercatore Bill Demirkapi il 10 ottobre dello scorso anno.
Il consiglio è quindi quello di aggiornare il tool SupportAssist il prima possibile (oppure di rimuoverla, qualora non dovesse servire), visto che tutte le versioni precedenti alla 3.2.0.0.90 sono vulnerabili ad un attacco di tipo RCE come quello appena analizzato.
Insieme a questa vulnerabilità, Dell ha provveduto a correggerne un’altra identificata come CVE-2019-3718 e classificata con un indice di pericolosità 8.8 che avrebbe potuto consentire ad un attaccante remoto non autenticato di tentare attacchi di tipo Cross Site Request Forgery (CSRF) ai sistemi degli utenti.