1、背景描述

6月21日戴尔发布安全通报,敦促用户更新戴尔电脑上预安装的SupportAssist软件,以修复DLL劫持漏洞(CVE-2019-12280)。该漏洞可被具有常规用户权限的攻击者利用,通过恶意DLL文件进行提权和获得持久性。

2、漏洞列表

CVE ID : CVE-2019-12280

戴尔DSA编号: DSA-2019-084

漏洞等级: 高危

CVSS评分: 暂无

影响范围: Dell SupportAssist for Business PCs版本2.0;Dell SupportAssist for Home PCs 3.2.1及之前的所有版本

3、漏洞详情

SupportAssist是戴尔电脑上预安装的一个软件,用于检查系统硬件和软件的运行状况,该软件以SYSTEM权限运行。SafeBreach Labs研究人员发现该软件存在DLL劫持漏洞(CVE-2019-12280),允许远程攻击者将任意未签名的DLL加载到以SYSTEM权限运行的服务中,从而实现权限提升和持久性 – 包括对物理内存、系统管理BIOS等底层组件的读/写访问。该漏洞使攻击者能够通过已签名的服务加载和执行恶意payload,攻击者可将此能力用于执行或逃避检测等不同目的,例如:应用程序白名单绕过、签名验证绕过。

根据SafeBreach的报告,该漏洞的根本原因是:

1、缺乏安全的DLL加载。代码中使用LoadLibraryW方法,而不是LoadLibraryExW;这允许未经授权的用户通过某些标记来定义搜索顺序,例如LOAD_LIBRARY_SEARCH_DLL_LOAD_DIR。反过来,该标记又限定只在自己的文件夹中搜索DLL,避免了在PATH变量中搜索DLL的情况。

2、没有对二进制文件进行签名验证。该程序没有验证它将加载的DLL是否已签名,因此它将加载任意未签名的DLL。

由于戴尔SupportAssist使用的组件是由第三方PC-Doctor开发和维护的,因此该漏洞也影响到依赖PC-Doctor的其它PC制造商。SafeBreach Labs确认受影响的组件是PC-Doctor Toolbox for Windows,该组件被以下工具所使用:

CORSAIR ONE Diagnostics

CORSAIR Diagnostics

Staples EasyTech Diagnostics

Tobii I-Series Diagnostic Tool

Tobii Dynavox Diagnostic Tool

漏洞时间线:

4月29日 – 报告漏洞

5月08日 – 戴尔确认该漏洞

5月21日 – 戴尔将漏洞发送给PC-Doctor

5月22日 – 获得编号CVE-2019-12280,assign给PC-Doctor

5月28日 – 戴尔发布SupportAssist更新,修复该漏洞

6月19日 – 漏洞披露

4、修复建议

建议戴尔用户更新至以下版本:

Dell SupportAssist for Business PCs 版本2.0.1

Dell SupportAssist for Home PCs 版本3.2.2

5、参考链接

https://www.dell.com/support/article/cn/zh/cndhs1/sln317291/dsa-2019-084-dell-supportassist-for-business-pcs-and-dell-supportassist-for-home-pcs-security-update-for-pc-doctor-vulnerability?lang=en

https://safebreach.com/Post/OEM-Software-Puts-Multiple-Laptops-At-Risk

https://thehackernews.com/2019/06/dells-supportassist-hacking.html

本资讯由启明星辰维他命安全小组编译和整理

声明:本文来自维他命安全,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。