ATUALIZADA com comentários da Dell e informações extras do SafeBreach.
Milhões de computadores Dell com Windows, e possivelmente muitos outros computadores feitos por outras marcas, são vulneráveis a uma falha em seu software de integridade do sistema interno que pode permitir que hackers controlem as máquinas, de acordo com um novo relatório da SafeBreach de Sunnyvale, Califórnia. .
Em máquinas Dell, o software é denominado SupportAssist. É feito pela PC-Doctor, fabricante de software de diagnóstico de hardware que licencia seu software para outros fabricantes de dispositivos eletrônicos.
Os pesquisadores do SafeBreach disseram que o PC-Doctor se recusou a fornecer uma lista de seus outros clientes, mas o site do PC-Doctor afirma que "os principais fabricantes instalaram mais de 100 milhões de cópias do PC-Doctor para Windows em sistemas de computador em todo o mundo".
A Dell e o PC-Doctor lançaram uma atualização de firmware que corrige esse problema, que você pode instalar seguindo as instruções na página de suporte da Dell para a falha do SupportAssist. No entanto, você pode ter que esperar por mais informações sobre dispositivos feitos por outros licenciados do software PC-Doctor.
A função SupportAssist é vulnerável porque não controla com segurança repositórios de código compartilhado conhecidos como DLLs. Para evitar a duplicação, os sistemas operacionais modernos armazenam trechos de código usados por muitos programas em repositórios comuns chamados de bibliotecas de link direto, abreviadas como DLLs no Windows ou dylibs no macOS.
Os programas carregam arquivos DLL quando são inicializados, mas os invasores podem definir armadilhas corrompendo as DLLs existentes ou substituindo os arquivos DLL mal-intencionados, que injetam código malicioso nos programas que usam essas DLLs. A maioria dos programas tem maneiras de evitar essa "injeção de DLL", mas o Dell SupportAssist claramente não tem, porque é assim que os pesquisadores do SafeBreach foram capazes de atacá-lo.
Como o SupportAssist é executado como SYSTEM, ele tem ganchos muito profundos no sistema operacional e o sequestro de suas funções permitiria que um invasor fizesse praticamente qualquer coisa na máquina - especialmente porque é um serviço "assinado" reconhecido como seguro pela Microsoft.
Infelizmente, o software cria uma porta aberta para os invasores porque procura algumas DLLs que não estavam nas máquinas Dell que a equipe do SafeBreach usou: AlienFX.dll, atiadlxx.dll, atiadlxy.dll e LenovoInfo.dll.
O último é interessante porque uma máquina Dell não deve conter um arquivo chamado "LenovoInfo.dll". Isso pode ser uma pista para a identidade de um dos outros clientes do PC-Doctor. "AlienFX.dll" faz mais sentido porque a Dell possui a Alienware, fabricante de PCs para jogos.
De qualquer forma, como nenhuma dessas DLLs realmente existia nas máquinas de teste, os pesquisadores do SafeBreach simplesmente criaram seus próprios arquivos e deram-lhes os nomes dos arquivos ausentes. Veja só, o Dell SupportAssist carregou esses arquivos e executou seu código, sem verificar quem os criou ou onde eles estavam localizados no sistema.
SafeBreach disse que o Dell SupportAssist, e presumivelmente o PC-Doctor, poderia mitigar esse problema permitindo apenas DLLs que foram "assinadas" por fabricantes de software autorizados e limitando as pesquisas por DLLs a apenas aquelas pastas onde DLLs específicas deveriam estar.
O SafeBreach relatou essa vulnerabilidade à Dell em 29 de abril, e a Dell, por sua vez, a encaminhou ao PC-Doctor, que obteve a vulnerabilidade listada no banco de dados de vulnerabilidade comum como CVE-2019-12280.
ATUALIZAR: A Dell procurou o Guia de Tom para afirmar que "o Dell SupportAssist não é feito pelo PC-Doctor. A vulnerabilidade descoberta pelo SafeBreach é uma vulnerabilidade do PC-Doctor, que é um componente de terceiros que acompanha o Dell SupportAssist para PCs."
"Mais de 90% dos clientes até agora receberam a atualização, lançada em 28 de maio de 2022-2023, e não estão mais em risco. O Dell SupportAssist atualiza automaticamente se as atualizações automáticas estiverem ativadas e a maioria dos clientes as ativou."
SafeBreach postou uma versão atualizada de suas descobertas com a informação de que vários outros softwares eram vulneráveis: o já mencionado PC-Doctor Toolbox para Windows e outras versões que o SafeBreach disse ter sido "rebatizado" como Corsair One Diagnostics, Corsair Diagnostics, Staples Easy Tech Diagnostics, Tobii I-Series Diagnostic Tool e Tobii Dynavox Diagnostic Tool.
Crédito da imagem: ReviewsExpert.netazine
Guia do laptop Dell
- Dica Anterior
- Próxima dica
- Melhores laptops e Chromebooks Dell
- Veja como a Dell se compara a outras marcas de laptop
- Classificação e boletim do suporte técnico da Dell
- O que há na garantia da Dell?