戴尔SupportAssist DLL挟制误差

宣布时间 2019-06-22

配景形貌


6月21日戴尔宣布清静转达 ,鞭策用户更新戴尔电脑上预装置的SupportAssist软件 ,以修复DLL挟制误差(CVE-2019-12280)。该误差可被具有通例用户权限的攻击者使用 ,通过恶意DLL文件举行提权和获得长期性。

误差列表


CVE ID  :   CVE-2019-12280
戴尔DSA编号:   DSA-2019-084
误差品级:   高危
CVSS评分:   暂无
影响规模:   Dell SupportAssist for Business PCs版本2.0;Dell SupportAssist for Home PCs 3.2.1及之前的所有版本

误差详情


SupportAssist是戴尔电脑上预装置的一个软件 ,用于检查系统硬件和软件的运行状态 ,该软件以SYSTEM权限运行。SafeBreach Labs研究职员发明该软件保存DLL挟制误差(CVE-2019-12280) ,允许远程攻击者将恣意未署名的DLL加载到以SYSTEM权限运行的服务中 ,从而实现权限提升和长期性 - 包括对物理内存、系统管理BIOS等底层组件的读/写会见。该误差使攻击者能够通过已署名的服务加载和执行恶意payload ,攻击者可将此能力用于执行或逃避检测等差别目的 ,例如:应用程序白名单绕过、署名验证绕过。


凭证SafeBreach的报告 ,该误差的基础缘故原由是:


1、缺乏清静的DLL加载。代码中使用LoadLibraryW要领 ,而不是LoadLibraryExW;这允许未经授权的用户通过某些标记来界说搜索顺序 ,例如LOAD_LIBRARY_SEARCH_DLL_LOAD_DIR。反过来 ,该标记又限制只在自己的文件夹中搜索DLL ,阻止了在PATH变量中搜索DLL的情形。


2、没有对二进制文件举行署名验证。该程序没有验证它将加载的DLL是否已署名 ,因此它将加载恣意未署名的DLL。


由于戴尔SupportAssist使用的组件是由第三方PC-Doctor开发和维护的 ,因此该误差也影响到依赖PC-Doctor的其它PC制造商。SafeBreach Labs确认受影响的组件是PC-Doctor Toolbox for Windows ,该组件被以下工具所使用:


CORSAIR ONE Diagnostics
CORSAIR Diagnostics
Staples EasyTech Diagnostics
Tobii I-Series Diagnostic Tool
Tobii Dynavox Diagnostic Tool

误差时间线:


4月29日 - 报告误差
5月08日 - 戴尔确认该误差
5月21日 - 戴尔将误差发送给PC-Doctor
5月22日 - 获得编号CVE-2019-12280 ,assign给PC-Doctor
5月28日 - 戴尔宣布SupportAssist更新 ,修复该误差
6月19日 - 误差披露

修复建议


建议戴尔用户更新至以下版本:


Dell SupportAssist for Business PCs 版本2.0.1
Dell SupportAssist for Home PCs 版本3.2.2

参考链接


https://www.dell.com/support/article/cn/zh/cndhs1/sln317291/dsa-2019-084-dell-supportassist-for-business-pcs-and-dell-supportassist-for-home-pcs-security-update-for-pc-doctor-vulnerability?lang=en
https://safebreach.com/Post/OEM-Software-Puts-Multiple-Laptops-At-Risk
https://thehackernews.com/2019/06/dells-supportassist-hacking.html