Zowat alle pc’s van Dell zijn kwetsbaar voor een bug waarlangs een aanvaller code met administratorprivileges kan uitvoeren, Het lek zit in de meegeleverde SupportAssist-toepassing.
SupportAssist, een tool die Dell op al zijn moderne zakelijke en consumentensystemen installeert in de fabriek, heeft een kritiek lek aan boord. Dat laat hackers of malware toe om code uit te voeren met administratorrechten, ongeacht het gebruikte account. De privilege-escalatie kan er uiteindelijk voor zorgen dat een aanvaller zich administrator-toegang verwerft en accountgegevens steelt.
Escalatie van privilege
SupportAssist kan gemanipuleerd worden om een malafide DLL-bestand te openen met daarin kwaadaardige code. Een dergelijke bug komt vaak voor, maar is doorgaans niet heel ernstig omdat er admin-rechten nodig zijn om software het alternatieve DLL-bestand voor te schotelen. Dat is hier niet het geval. Een aanvaller kan het bestand in kwestie in een map plaatsen waar ook laag-geprivilegieerde gebruikers toegang tot hebben. Zo ontstaat er een vector waarlangs het mogelijk wordt via een afgeschermde en correct geconfigureerde gebruikersaccount toch toegang te krijgen tot administrator-mogelijkheden.
Dat komt omdat de SupportAssist-toepassing met hoge rechten draait. Wanneer die de DLL laadt, wordt de malafide code met dezelfde rechten als het host-proces uitgevoerd. De fout ligt hier bij de implementatie van Dell: het mag nooit mogelijk zijn om een toepassing met hoge rechten code te voeren vanuit een omgeving met lagere rechten. Om de aanval uit te voeren moet een hacker lokale toegang hebben tot een systeem. Die kan hij verkregen op een andere manier, bijvoorbeeld door phishing of langs een ander ongepatcht lek in Windows of het (bedrijfs)netwerk.
Updaten
SupportAssist staat geïnstalleerd op tientallen miljoenen pc’s, zowel voor zakelijk gebruik als voor consumenten. De tool verzamelt data op een toestel en stuurt die naar Dell wanneer een gebruiker een troubleshoot-procedure start. Op zakelijk pc’s zijn alle versies van de software tot 2.1.3 kwetsbaar, voor consumentenpc’s loopt de versienummering anders en is de tool tot versie 3.4 kwetsbaar. Een update is intussen gelukkig beschikbaar. Vergewis je er van dat de software op je systeem respectievelijk versie 2.1.4 en 3.4.1 is wanneer automatische updates staan ingeschakeld. Anders dien je het probleem manueel te verhelpen.
De SupportAssist-app van Dell is een probleemkindje. In juni moest Dell nog een gelijkaardig lek patchen en ook in mei bleek de software kwetsbaar. Dell is bovendien niet de enige die gebruikers hypothekeert met software waar ze niet om gevraagd hebben. Zo bevatte het Solution Center van Lenovo vorig jaar nog een kritieke bug. Ons advies is om bij een nieuw systeem steeds te kijken welke voorgeïnstalleerde tools je echt nodig hebt en de rest van de software er stante pede af te kieperen. Veel tools van fabrikanten zijn in het beste geval niet zo interessant, en in het slechtste geval een vector voor aanvallers.