Dell發布了一份資安通報來呼籲客戶更新商用及家用電腦內建的SupportAssist應用程式以解決漏洞問題。這個編號CVE-2019-12280的提權漏洞讓駭客能夠存取敏感資訊並且控制數百萬台執行Windows系統的Dell電腦。
Dell SupportAssist是用來檢查系統軟硬體狀態的工具程式。需要較高的權限才能正常運作,因此是以SYSTEM身份執行。駭客透過此漏洞取得SupportAssist的存取權限就可以控制電腦並透過簽章服務或Microsoft認可為安全的服務來執行惡意程式。
這個漏洞最先是由SafeBreach的研究人員所回報,他們發現SupportAssist沒有安全地處理動態連結程式庫(DLL),讓攻擊者有機會進行 DLL劫持。
跟許多其它程式一樣,SupportAssist在啟動時會載入DLL檔。但SafeBreach發現SupportAssist應用程式會載入未簽章的DLL檔,只要使用跟所需檔案相同的檔名即可。這代表SupportAssist不會檢查它所載入DLL檔案的作者和位置。這讓DLL劫持變得可行,讓攻擊者能夠替換載入惡意DLL檔。
此漏洞是來自SupportAssist所用的PC-Doctor第三方元件。它在4月29日首次向Dell通報。受此漏洞影響的軟體包括PC-Doctor Toolbox for Windows,它有數個不同名稱的版本。
解決方案和建議
Dell在5月28日發布了此漏洞的修補程式,並報告稱有約90%的客戶已經收到更新。如果有啟用自動更新,Dell SupportAssist也會自動被更新。
使用者和企業都必須持續地了解新舊漏洞。網路犯罪分子會不斷尋找新方法來進行攻擊,即便是老舊或已被修補的漏洞,因為有許多使用者並不會立即部署修補程式(如果有的話)。
企業和使用者可以利用現有科技來更快速地回應漏洞問題。例如虛擬修補等技術可以保護組織抵禦基於已知或未知漏洞的攻擊。
[延伸閱讀:虛擬修補:在被攻擊前修補這些漏洞]
趨勢科技Deep Security提供虛擬修補技術來保護伺服器和端點抵禦攻擊重大應用程式漏洞的威
趨勢科技Deep Discovery進階網路安全防護 透過特製引擎、客製化沙箱和跨越整個攻擊生命週期的無縫關聯來對漏洞攻擊及其他類似威脅進行偵測、深入分析和主動回應,從而可以無需更新引擎和特徵碼就能夠偵測這些類型的攻擊。
@原文出處:Dell Urges Millions of Users to Patch Vulnerability in SupportAssist Tool