В утилите SupportAssist, установленной на устройствах Dell, снова нашли проблему

Разработчики Dell снова патчат утилиту SupportAssist, предустановленную на большинстве компьютеров Dell под управлением Windows. На этот раз при помощи Dell SupportAssist можно было локально выполнять код с повышенными привилегиями, причем для эксплуатации уязвимости требовались низкие права.

В настоящее время проблема была устранена ​​с релизом SupportAssist для бизнес-ПК версии 2.1.4 и SupportAssist для домашних ПК версии 3.4.1.

Уязвимость, получившую идентификатор CVE-2020-5316, обнаружили исследователи из компании Cyberark. Они отмечают, что на исправление этой проблемы у Dell ушло около трех месяцев, что весьма неплохо, так как раньше компания тратила на выпуск патчей пять месяцев и более.

Обнаруженная проблема относилась к классу DLL hijacking, то есть допускала размещение вредоносного DLL-файла в том месте системы, откуда приложение в итоге загружало именно этот вредоносный файл вместо легитимного компонента. При этм Dell SupportAssist пыталась загрузить DLL из папки, копировать файлы в которую мог даже пользователь без прав администратора.

Проблема состоит в том, что SupportAssist работает с привилегиями уровня SYSTEM, и в итоге имеет возможность взаимодействовать с сайтом поддержки Dell, автоматически определять Service Tag и Express Service Code устройства, сканировать существующие драйверы, устанавливать отсутствующие или доступные обновления, а также выполнять диагностические тесты оборудования.

Таким образом, в результате эксплуатации бага атакующий получал возможность выполнить свой вредоносный код с правами NT AUTHORITY\System.

Стоит отметить, что это далеко не первая проблема, найденная и исправленная в составе SupportAssist. К примеру, в прошлом году в утилите уже устранили похожую уязвимость CVE-2019-12280, а в 2018 году еще одну проблему, так же связанную с локальным повышением привилегий.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.