戴爾SupportAssist DLL劫持漏洞

發布時間 2019-06-22

背景描述


6月21日戴爾發布安全通報,敦促用戶更新戴爾電腦上預安裝的SupportAssist軟件,以修複DLL劫持漏洞(CVE-2019-12280)。該漏洞可被具有常規用戶權限的攻擊者利用,通過惡意DLL文件進行提權和獲得持久性。

漏洞列表


CVE ID  :   CVE-2019-12280
戴爾DSA編號:   DSA-2019-084
漏洞等級:   高危
CVSS評分:   暫無
影響範圍:   Dell SupportAssist for Business PCs版本2.0;Dell SupportAssist for Home PCs 3.2.1及之前的所有版本

漏洞詳情


SupportAssist是戴爾電腦上預安裝的一個軟件,用于檢查系統硬件和軟件的運行狀況,該軟件以SYSTEM權限運行。SafeBreach Labs研究人員發現該軟件存在DLL劫持漏洞(CVE-2019-12280),允許遠程攻擊者將任意未簽名的DLL加載到以SYSTEM權限運行的服務中,從而實現權限提升和持久性 - 包括對物理內存、系統管理BIOS等底層組件的讀/寫訪問。該漏洞使攻擊者能夠通過已簽名的服務加載和執行惡意payload,攻擊者可將此能力用于執行或逃避檢測等不同目的,例如:應用程序白名單繞過、簽名驗證繞過。


根據SafeBreach的報告,該漏洞的根本原因是:


1、缺乏安全的DLL加載。代碼中使用LoadLibraryW方法,而不是LoadLibraryExW;這允許未經授權的用戶通過某些標記來定義搜索順序,例如LOAD_LIBRARY_SEARCH_DLL_LOAD_DIR。反過來,該標記又限定只在自己的文件夾中搜索DLL,避免了在PATH變量中搜索DLL的情況。


2、沒有對二進制文件進行簽名驗證。該程序沒有驗證它將加載的DLL是否已簽名,因此它將加載任意未簽名的DLL。


由于戴爾SupportAssist使用的組件是由第三方PC-Doctor開發和維護的,因此該漏洞也影響到依賴PC-Doctor的其它PC制造商。SafeBreach Labs確認受影響的組件是PC-Doctor Toolbox for Windows,該組件被以下工具所使用:


CORSAIR ONE Diagnostics
CORSAIR Diagnostics
Staples EasyTech Diagnostics
Tobii I-Series Diagnostic Tool
Tobii Dynavox Diagnostic Tool

漏洞時間線:


4月29日 - 報告漏洞
5月08日 - 戴爾確認該漏洞
5月21日 - 戴爾將漏洞發送給PC-Doctor
5月22日 - 獲得編號CVE-2019-12280,assign給PC-Doctor
5月28日 - 戴爾發布SupportAssist更新,修複該漏洞
6月19日 - 漏洞披露

修複建議


建議戴爾用戶更新至以下版本:


Dell SupportAssist for Business PCs 版本2.0.1
Dell SupportAssist for Home PCs 版本3.2.2

參考鏈接


https://www.dell.com/support/article/cn/zh/cndhs1/sln317291/dsa-2019-084-dell-supportassist-for-business-pcs-and-dell-supportassist-for-home-pcs-security-update-for-pc-doctor-vulnerability?lang=en
https://safebreach.com/Post/OEM-Software-Puts-Multiple-Laptops-At-Risk
https://thehackernews.com/2019/06/dells-supportassist-hacking.html