SupportAssist este un software ce îi ajută pe cei de la DELL în identificarea sistemului pentru a îți oferi ajutor în instalarea driverelor necesare. Acesta vine preinstalat pe calculatoarele DELL iar când accesați pagina de support a celor de la DELL, SupportAssist facilitează verificarea componentelor pentru a se asigura că veți instala driverele aferente componentelor voastre.

Un cercetător de securitate de 17 ani a descoperit această vulnerabilitate în momentul în care i-a fost atrasă atenția în privința butonului "Detect PC" ce poate fi observat în poza de mai sus. (mai multe detalii tehnice pot fi citite accesând acest link).

Aplicația SupportAssist interacționează cu site-ul DELL pentru a-ți afla Service Tag-ul sau Express Service Cod-ul dispozitivului, scanează dispozitivul curent pentru drivere și instalează update-uri de drivere ce lipsesc, dar să și să execute teste hardware de diagnostic.

Cercetătorul de 17 ani a descoperit că SupportAssist deschide un webserver local pe sistemul respectiv care rulează pe porturile 8883, 8884, 8885 sau 8886. Webserverul la rândul său acceptă comenzi pe post de parametru al URL-ului pentru a executa taskuri predefinite printre care se include și o funcție ce downloadează și instalează un software de pe un server remote.

Cu toate că serviciul de webserver local este protejat prin "Access-Control-Allow-Origin" și are restricții ce permit interacțiunea cu el doar de pe un server *.DELL.com (incluzând sub-domenii).

PoC pentru exploitul de SupportAssist

Într-un final acesta a detaliat pe site-ul său personal că sunt posibile 4 metode de atac dar acesta a optat pentru a continua cu opțiunea de MiTM pentru a rula exploit-ul eficient.

Aceastei vulnerabilități i-a fost asociat CVE-2019-3719 iar cei de la DELL au reacționat într-o postare oficial ce poate fi accesată pe următorul link.

Utilizatorii DELL sunt sfătuiți să instaleze versiunea Dell SupportAssist 3.2.0.90 sau mai nouă, sau chiar să desintaleze complet aplicația de SupportAssist.

Dacă ați fost afectați de această vulnerabilitate, vă aștept să vă împărtășiți experiențele pe pagina de Facebook.