25.06.2019
В SupportAssist, предварительно установленном на миллионах компьютеров Dell, основанном на платформе PC-Doctor, обнаружена брешь для предоставления злоумышленникам доступа на аппаратном, программном, а также на системном уровне.
Обнаружен серьезный недостаток безопасности и в диагностическом программном обеспечении, используемом Dell и другими производителями ПК.
Диагностическое программное обеспечение носит название SupportAssist на компьютерах Dell, но на самом деле это обновленная версия программного обеспечения, написанная PC-Doctor. Данное программное обеспечение используется рядом различных OEM-производителей, которые производят ПК с поддержкой ОС Windows, и, как правило, поставляется предварительно установленным в качестве инструмента для мониторинга состояния оборудования и программного обеспечения.
Для мониторинга работоспособности аппаратных и программных компонентов, программное обеспечение PC-Doctor требует высокоуровневого доступа к хост-компьютерам. Именно в этом и заключается проблема доступа к высокому уровню: она может быть использована для предоставления злоумышленникам расширенного постоянного доступа к сотням миллионов ПК с установленным программным обеспечением.
Лаборатории Safebreach протестировали эксплойт с помощью Dell SupportAssist, который использовал различные исполняемые файлы PC-Doctor для сбора системной информации. Что само по себе не является проблемой, так как именно так эти исполняемые файлы и собирают информацию.
PC-Doctor использует несколько разных библиотек DLL, которые собирают информацию из разных источников и представляют ее SupportAssist. При тестировании, чтобы увидеть, что делают библиотеки DLL, SafeBreach обнаружил, что несколько модулей сбора информации искали библиотеки DLL, расположенные в каталоге переменных среды PATH.
Каталог переменных среды PATH, как правило, является записываемым каталогом для пользователей, прошедших проверку подлинности, что означает, что злоумышленник теоретически может вставить в него вредоносную DLL-библиотеку и запустить ее с помощью программного обеспечения PC-Doctor, именно это и обнаружил Пелег Хадар из Safebreach Labs.
Хадар загрузил неподписанные библиотеки DLL в целевые каталоги, и PC-Doctor выполнил их, не задумываясь. Это было сделано по двум причинам:
PC-Doctor не выполняет безопасную загрузку DLL. Он загружает библиотеки DLL с помощью команды, которая не позволяет программе помечать библиотеки DLL для загрузки только из известных безопасных мест.
PC-Doctor не проверяет действительный цифровой сертификат перед загрузкой DLL. Другими словами, он загрузит любую неподписанную DLL.
Если злоумышленник сможет использовать эту уязвимость, он сможет предоставить себе постоянные повышенные привилегии, а также сможет обойти белые списки приложений и проверку подписи.
Эта уязвимость также позволяет злоумышленникам обходить принудительное применение подписи драйверов, которое предназначено для сбоя Windows при загрузке неподписанного драйвера режима ядра. Если все сделано успешно, у злоумышленника будет полный доступ для чтения и записи.
Все компьютеры Dell с поддержкой SupportAssist находятся под угрозой, но проблема гораздо серьезнее: программное обеспечение PC-Doctor устанавливается на широкий спектр компьютеров OEM.
К сожалению, PC-Doctor не раскрыл, какие это OEM-производители, и, поскольку его программное обеспечение обычно переименовывается, чтобы соответствовать OEM, почти невозможно узнать полное количество зараженных компьютеров.
К счастью, нет никакого известного примера использования этого эксплойта в дикой природе - это всего лишь доказательство концепции, которая была представлена Dell и PC-Doctor, последний из которых сказал, что он выпустит обновление для системы безопасности в июне 2019 года для решения этой проблемы.
До тех пор, пока не будет выпущено исправление, пользователям Dell следует рассмотреть возможность отключения SupportAssist, чтобы предотвратить запуск вредоносных библиотек DLL. Пользователи других ПК и ИТ-специалистов должны следовать правилам безопасности, таким как установка всех обновлений системы, не открывать вложения из неизвестных источников, вносить в белый список приемлемое программное обеспечение, а также проверять наличие брандмауэров в сети.
Диагностическое программное обеспечение носит название SupportAssist на компьютерах Dell, но на самом деле это обновленная версия программного обеспечения, написанная PC-Doctor. Данное программное обеспечение используется рядом различных OEM-производителей, которые производят ПК с поддержкой ОС Windows, и, как правило, поставляется предварительно установленным в качестве инструмента для мониторинга состояния оборудования и программного обеспечения.
Для мониторинга работоспособности аппаратных и программных компонентов, программное обеспечение PC-Doctor требует высокоуровневого доступа к хост-компьютерам. Именно в этом и заключается проблема доступа к высокому уровню: она может быть использована для предоставления злоумышленникам расширенного постоянного доступа к сотням миллионов ПК с установленным программным обеспечением.
В чем заключается ошибка PC-Doctor?
Лаборатории Safebreach протестировали эксплойт с помощью Dell SupportAssist, который использовал различные исполняемые файлы PC-Doctor для сбора системной информации. Что само по себе не является проблемой, так как именно так эти исполняемые файлы и собирают информацию.
PC-Doctor использует несколько разных библиотек DLL, которые собирают информацию из разных источников и представляют ее SupportAssist. При тестировании, чтобы увидеть, что делают библиотеки DLL, SafeBreach обнаружил, что несколько модулей сбора информации искали библиотеки DLL, расположенные в каталоге переменных среды PATH.
Каталог переменных среды PATH, как правило, является записываемым каталогом для пользователей, прошедших проверку подлинности, что означает, что злоумышленник теоретически может вставить в него вредоносную DLL-библиотеку и запустить ее с помощью программного обеспечения PC-Doctor, именно это и обнаружил Пелег Хадар из Safebreach Labs.
Хадар загрузил неподписанные библиотеки DLL в целевые каталоги, и PC-Doctor выполнил их, не задумываясь. Это было сделано по двум причинам:
PC-Doctor не выполняет безопасную загрузку DLL. Он загружает библиотеки DLL с помощью команды, которая не позволяет программе помечать библиотеки DLL для загрузки только из известных безопасных мест.
PC-Doctor не проверяет действительный цифровой сертификат перед загрузкой DLL. Другими словами, он загрузит любую неподписанную DLL.
Если злоумышленник сможет использовать эту уязвимость, он сможет предоставить себе постоянные повышенные привилегии, а также сможет обойти белые списки приложений и проверку подписи.
Эта уязвимость также позволяет злоумышленникам обходить принудительное применение подписи драйверов, которое предназначено для сбоя Windows при загрузке неподписанного драйвера режима ядра. Если все сделано успешно, у злоумышленника будет полный доступ для чтения и записи.
Кто находится опасности?
Все компьютеры Dell с поддержкой SupportAssist находятся под угрозой, но проблема гораздо серьезнее: программное обеспечение PC-Doctor устанавливается на широкий спектр компьютеров OEM.
К сожалению, PC-Doctor не раскрыл, какие это OEM-производители, и, поскольку его программное обеспечение обычно переименовывается, чтобы соответствовать OEM, почти невозможно узнать полное количество зараженных компьютеров.
К счастью, нет никакого известного примера использования этого эксплойта в дикой природе - это всего лишь доказательство концепции, которая была представлена Dell и PC-Doctor, последний из которых сказал, что он выпустит обновление для системы безопасности в июне 2019 года для решения этой проблемы.
До тех пор, пока не будет выпущено исправление, пользователям Dell следует рассмотреть возможность отключения SupportAssist, чтобы предотвратить запуск вредоносных библиотек DLL. Пользователи других ПК и ИТ-специалистов должны следовать правилам безопасности, таким как установка всех обновлений системы, не открывать вложения из неизвестных источников, вносить в белый список приемлемое программное обеспечение, а также проверять наличие брандмауэров в сети.
