SupportAssist Yardımcı Programına Sahip "Yüksek Önem Dereceli" Ayrıcalık Arttırma Saldırılarına Karşı Savunmasız Dell Bilgisayarlar, Windows 10 İçin Yayınlanan Güvenlik Güncellemesi

Windows işletim sistemi çalıştıran Dell bilgisayarların "yüksek önem dereceli" güvenlik açığına açık olduğu bildiriliyor. Görünüşe göre, Dell’in SupportAssist, sorunları tanılamaya ve çözmeye yardımcı olma amaçlı bir yardımcı program, saldırganların imzasız ve onaylanmamış kod çalıştırarak PC'ler üzerinde tam denetim sağlamasına olanak sağlayabilir. Güvenlik tehdidinin farkında olan Dell, SupportAssist için birkaç ay içinde iki güvenlik yaması yayınladı. Ancak, yamalanmamış sistemler ayrıcalık yükseltme saldırılarına karşı savunmasız kalmaya devam ediyor.

Dell, SupportAssist yazılımı için ikinci bir yama yayınladı. Yazılım, esasen işletim sistemindeki yaygın sorunları ve sorunları teşhis etmeye yardımcı olan bir dizi araçtır. Uygulama ayrıca bu sorunları gidermek için bir dizi yöntem sunar. Bu arada, gayri resmi olarak bloatware olarak anılan Dell’in SupportAssist'i Dell'in gönderdiği bilgisayarların çoğuna önceden yüklenmiştir. Ne yazık ki, yazılımdaki birkaç hata, bilgisayar korsanlarının savunmasız veya yamalanmamış bir bilgisayarın güvenliğini ihlal etmesine olanak tanıyabilir.

Güvenlik endişelerini ele alan Dell, İş için SupportAssist ve Ev için SupportAssist için güncellemeler yayınladı. Görünüşe göre, güvenlik açıkları PC Doctor adlı bir bileşende yatıyor. Yazılım, bir ABD yazılım satıcısının popüler bir ürünüdür. Satıcı, birçok PC üreticisi tarafından tercih edilen geliştiricidir. PC Doctor, esasen donanıma teşhis yazılımıdır. OEM'ler, bir sistemin sağlığını izlemek için yazılımı sattıkları bilgisayarlara düzenli olarak dağıtır. PC Doctor'ın yalnızca genel sorunları arayıp, çözümler sunup sunmadığı veya OEM'lerin sorunları uzaktan teşhis etmesine yardımcı olup olmadığı açık değildir.

SupportAssist, Windows 10 çalıştıran çoğu Dell dizüstü bilgisayar ve bilgisayarla birlikte gelir. Bu yılın Nisan ayında, Dell, bağımsız bir güvenlik araştırmacısının destek aracının milyonlarca savunmasız sistemi ele geçirmek için uzaktan saldırganlar tarafından kullanılabileceğini keşfetmesinin ardından ciddi bir güvenlik hatası için bir yama yayınladı. Hata, Dell’in SupportAssist kodunun kendisinde vardı. Ancak güvenlik açığı, PC Doctor tarafından sağlanan bir üçüncü taraf yazılım kitaplığında mevcuttu.

Güvenlik araştırmaları, "Common.dll" adlı bir dosyadaki hatayı ortaya çıkardı. Ayrıcalık yükseltme saldırısını gerçekleştirmek için SupportAssist ve PC Doctor'a ihtiyaç olup olmadığı veya yalnızca PC Doctor'ın yeterli olup olmadığı hemen belli değil. Ancak uzmanlar, Dell'in yanı sıra yazılıma güvenen diğer OEM'lerin, çözümlerinin saldırıya açık olmadığından emin olmak için bir güvenlik kontrolü yapmaları gerektiği konusunda uyarıyor.

Dell, yamayı yayınladıktan sonra zaten bir güvenlik danışma belgesi yayınladı. Dell, markalı bilgisayar kullanıcılarına Dell SupportAssist'i güncellemelerini şiddetle tavsiye ediyor. Dell SupportAssist for Business PC'ler şu anda sürüm 2.0'da ve Dell SupportAssist for Home PC'ler sürüm 3.2.1'de bulunuyor. Yama, yüklendikten sonra sürüm numarasını değiştirir.

Farklı sürüm numaralarına rağmen, Dell güvenlik açığını tek bir kodla, "CVE-2019-12280" ile etiketledi. Yama yüklendikten sonra, İş Bilgisayarları için Dell SupportAssist 2.0.1 sürümünü alır ve Ev Bilgisayarlarının sürümü 3.2.2'ye çıkar. Önceki tüm sürümler, potansiyel tehdide karşı savunmasız kalmaya devam ediyor.

SupportAssist ile Dell Bilgisayarlarda Ayrıcalık Arttırma Saldırısı Nasıl Çalışır?

Yukarıda belirtildiği gibi, SupportAssist, Windows 10 çalıştıran çoğu Dell dizüstü bilgisayar ve bilgisayarla birlikte gelir. Windows 10 Dell makinelerde, "Dell Donanım Desteği" adı verilen yüksek ayrıcalıklı bir servis birkaç yazılım kitaplığı arar. Bu güvenlik ayrıcalığı ve yerel bir saldırgan tarafından artırılmış ayrıcalıklar elde etmek için kullanılabilen yazılım kitaplıklarının yüksek sayıda isteği ve varsayılan onaylarıdır. Önceki güvenlik açığından uzaktaki saldırganlar tarafından yararlanılabilse de, en son keşfedilen hatanın saldırganın aynı ağda olmasını gerektirdiğini unutmamak önemlidir.

Yerel bir saldırgan veya normal bir kullanıcı, işletim sistemi düzeyinde kod yürütme elde etmek için bir yazılım kitaplığını kendi kitaplığıyla değiştirebilir. Bu, PC Doctor tarafından kullanılan Common.dll adlı bir yardımcı program kitaplığı kullanılarak elde edilebilir. Sorun, bu DLL dosyasının işlenme biçiminde yatmaktadır. Görünüşe göre program, yükleyeceği DLL'nin imzalanıp imzalanmadığını doğrulamıyor. Değiştirilen ve tehlikeye atılan bir DLL dosyasının denetlenmeden çalışmasına izin vermek, en ciddi güvenlik risklerinden biridir.

Şaşırtıcı bir şekilde, PC'lerin yanı sıra, benzer teşhis hizmetleri için üs olarak PC Doctor'a dayanan diğer sistemler de savunmasız olabilir. En popüler ürünlerden bazıları arasında Corsair Diagnostics, Staples EasyTech diagnostics, Tobii I-Series diagnostics vb. Yer alır.

Facebook Twitter Google Plus Pinterest