Via een kwetsbaarheid in Dell SupportAssist kunnen hackers vanop afstand admin-toegang krijgen tot Dell-systemen en de controle overnemen. Aangezien het hulpprogramma vooraf is geïnstalleerd, is het aantal potentiële slachtoffers zeer hoog.
Dell heeft al op 23 april een patch uitgebracht om de beveiligingsfout (CVE-2019-3719) te tackelen. Gebruikers blijven evenwel kwetsbaar tot het moment dat ze de update hebben uitgevoerd. SupportAssist wordt onder meer gebruikt voor foutopsporing, diagnostische gegevens en updates van Dell-stuurprogramma’s.
Volgens Bill Demirkapi, een 17-jarige beveiligingsonderzoeker uit de VS, gaat het om een RCE-kwetsbaarheid (remote code execution) die aanvallers onder bepaalde omstandigheden een gemakkelijke manier biedt om Dell-systemen te kapen. Juist ook omdat de SupportAssist-tool wordt uitgevoerd als beheerder, hebben aanvallers bij een geslaagde aanval volledige toegang.
Aanval
Aanvallers lokken gebruikers naar een nagemaakte webpagina, waarop JavaScript-code draait die SupportAssist misleidt tot het downloaden en uitvoeren van malware. De aanval vereist geen verdere interactie van de gebruiker. De kwaadaardige JavaScript-code zou bovendien ook op legitieme websites kunnen draaien, verborgen in het iframe van een advertentie.
Een tweede vereiste is dat de aanvaller zich in het netwerk van het slachtoffer bevindt om ARP- en DNS-spoofing uit te voeren, legt Demirkapi uit aan ZDNet. Dat kan bijvoorbeeld op een publiek wifi-netwerk, via een gecompromitteerde machine in het bedrijfsnetwerk of door in te breken op de router van het slachtoffer.
Het iframe verwijst naar een subdomein van dell.com, waarna via DNS-spoofing een onjuist IP-adres voor het domein wordt teruggekoppeld, zodat de aanvaller controleert welke bestanden worden verstuurd en uitgevoerd door SupportAssist, en het systeem kan worden overgenomen.
Demikarpi maakte een proof-of-concept van de aanval beschikbaar via GitHub.
Lees ook: Dell lanceert gecentraliseerd managementplatform voor endpoints