戴尔发布SupportAssist软件漏洞修复,建议用户尽早更新

戴尔近期发布了一个安全更新,修补了SupportAssist Client软件漏洞,该漏洞可能会让本地攻击者利用感染的计算机,以管理员权限执行任意代码。

根据戴尔的网站声明,SupportAssist  软件是“预先安装在大多数Windows操作系统的新型戴尔设备上”的。

SupportAssist还会“主动检查系统硬件和软件的运行安全状况。当检测到问题时,会将必要的系统状态信息发送给戴尔,以便于进行故障排除。”

可用于二进制植入攻击

戴尔在其通报中这样解释:“本地身份验证的低特权用户可能可以利用此漏洞,导致SupportAssist二进制文件加载任意DLL,进而导致任意特权代码的执行。”

Cyberark的研究人员Eran Shimony报告的这个搜索路径漏洞编号为 CVE-2020-5316,其严重等级CVSSv3基本得分为7.8分,并且会影响以下戴尔SupportAssist版本:

适用于2.1.3或更早版本的商用PC的戴尔 SupportAssist

适用于3.4或更早版本的家用PC的戴尔SupportAssist。

该公司发布了针对商用PC的戴尔 SupportAssist版本2.1.4和针对家用PC的戴尔 SupportAssist版本3.4.1,在新版本中修复了该漏洞。

戴尔建议所有用户尽早更新戴尔计算机上的 SupportAssist软件,因为所有未打补丁的版本都容易受到攻击。如果利用此漏洞,攻击者可以在SupportAssist软件的二进制文件的上下文中加载和执行恶意有效负载。

鉴于需要本地访问并且要通过系统上的低特权用户,所以该漏洞的威胁看起来并不是很明显,但是,此类安全问题一旦发生,威胁程度通常可达高危级别。

攻击者在二进制植入攻击中利用了此类DLL劫持漏洞,这些漏洞可进一步破坏设备并帮助他们在攻击后长期潜伏。

更新设备以修复漏洞

戴尔表示,如果启用了自动升级,那么所有版本的SupportAssist都会自动安装最新发布的版本。

如果未启用自动更新,则家用PC客户可以打开SupportAssist软件,并在“设置”窗口中单击“关于SupportAssist”来检查较新的版本,然后单击显示的“立即更新”链接来手动检查更新。

对于企业PC客户而言,此过程比较复杂,戴尔建议遵循《 戴尔SupportAssist 商用PC部署指南》中的部署说明来进行操作。

在2019年5月,戴尔也曾在SupportAssist Client软件中修补了一个远程执行代码漏洞。攻击者可以利用该漏洞,无需身份验证,在同一网络访问层对感染设备进行任意远程代码执行。

安全研究员Tom Forbes在2015年的Dell System Detect(DSD)软件中发现了一个类似的RCE漏洞。Forbes当时说,该漏洞“允许攻击者无需任何用户交互即可触发程序下载并执行任意文件。”