Dellは、Windows OSを実行する同社のほぼすべての新型デバイスにプリインストールされているWindowsベースのトラブルシューティングプログラムであるSupportAssistに欠陥があることを認めた。この欠陥により、ローカルハッカーが管理者権限で悪意のあるファイルを読み込むことが可能になる。
同社はこの脆弱性に関する勧告を発表し、ローカルで認証された権限の低いユーザーがこのバグを悪用して SupportAssist バイナリによって任意の DLL をロードし、マルウェアを特権で実行できる可能性があると警告している。
SupportAssist はシステムのハードウェアとソフトウェアをスキャンし、問題が検出されると、トラブルシューティングを開始するために必要なシステム状態情報を Dell に送信します。
この種の脆弱性は比較的よく見られますが、通常は管理者権限が必要なため、深刻なセキュリティ脅威とは考えられていません。しかし、このバグを発見したサイバーアークのエラン・シモニー氏によると、今回のケースでは、SupportAssistが一般ユーザー(管理者以外のユーザー)が書き込み可能なディレクトリからDLLを読み込もうとしているとのことです。
「したがって、悪意のある非特権ユーザーは、DellSupportAssist によってロードされる DLL を作成し、NT AUTHORITY\System 権限で実行されるソフトウェア内でコード実行を効果的に取得できます」と Shimony 氏はThe Regに語った。
これは、DLLMainという関数(悪意のあるDLL内)内に、ロード直後に呼び出されるコードエントリを記述できるためです。このコードはホストプロセスの特権レベルで実行されます。
深刻度評価が「高」のこの欠陥 (CVE-2020-5316) は、ビジネス PC 向け Dell SupportAssist バージョン 2.1.3 以前およびホーム PC 向け Dell SupportAssist バージョン 3.4 以前に影響します。
ビジネス ユーザーはバージョン 2.1.4 にアップデートする必要があり、自宅のデスク ジョッキーはバージョン 3.4.1 にロールオーバーして修正を入手する必要があります。
この脆弱性はローカルアクセスを必要とするため、悪意のある人物はネットワークにログインする必要があります。しかし、一度ログインした悪意のある人物は、たとえ権限のないユーザーであっても、この脆弱性を利用して昇格した権限で独自のコードを実行し、デバイスをさらに制御できるようになります。
「あるいは、この欠陥を悪用して機密データにアクセスしたり、ドメイン管理者アカウントなど他のアカウントの認証情報を盗んだりすることも可能だ」と、BHコンサルティングの創設者ブライアン・ホナン氏はThe Regに語った。
数百万台のWindows Dell PCにパッチ適用が必要:バンドルされたサポートツールに潜むセキュリティグレムリンを発見
続きを読む
これはSupportAssistで発見された最初のセキュリティ上の欠陥ではありません。2019年6月、Dellは別の権限昇格の脆弱性(CVE-2019-12280)について警告しました。今回の脆弱性と同様に、この脆弱性は、マルウェアや独自のDLLファイルをパスに残し、SupportAssistが管理者権限でコードを読み込み実行することで、SupportAssistのSYSTEMレベルの権限を悪用できることを意味します。この脆弱性は、PC Doctorが開発・保守するSupportAssistのサードパーティ製コンポーネントに起因していました。
わずか数か月前の2019年4月下旬、同社はソフトウェアの「複数の脆弱性」(CVE-2019-3718およびCVE-2019-3719)について警告しており、悪意のある人物がユーザーを騙して「攻撃者がホストするサイトからSupportAssistクライアント経由で」任意の実行ファイルをダウンロードして実行できる可能性があるとしていた。
「デルのSupportAssistソフトウェアにまたもや欠陥が発見されたことは、昇格された権限で実行されるソフトウェアが常に標的となることを浮き彫りにしており、こうしたソフトウェアを開発する企業が堅牢なセキュリティテストと脆弱性管理プロセスを導入することがいかに重要であるかを浮き彫りにしている」とホーナン氏は語った。
組織は、重要でないものをシステムから削除することを検討すべきだと彼は述べた。「システムにインストールされているソフトウェアやサービスが多ければ多いほど、攻撃者にとっての標的は大きくなります」とホナン氏は述べた。
業界アナリストIDCによると、Dellは昨年4,650万台のPCを出荷しました。Dell EMCにコメントを求めました。®
2月12日9時06分に更新しました。
DellはThe Regに対し、次のように連絡を取りました。「ご存知のとおり、DellはDell SupportAssistクライアントにおける制御不能な検索パスの脆弱性(CVE-2020-5316)に対する修正プログラムをリリースしました。影響を受ける製品、バージョン、その他の情報については、Dellのセキュリティアドバイザリ(DSA-2020-005)をご覧ください。脆弱性を報告し、修正プログラムの公開にご協力いただいたEran Shimony氏に感謝申し上げます。」
