戴尔SupportAssist DLL挟制误差

宣布时间 2019-06-22

配景形貌


6月21日戴尔宣布清静转达,,鞭策用户更新戴尔电脑上预装置的SupportAssist软件,,以修复DLL挟制误差(CVE-2019-12280)。。 。。。该误差可被具有通例用户权限的攻击者使用,,通过恶意DLL文件举行提权和获得长期性。。 。。。

误差列表


CVE ID  :   CVE-2019-12280
戴尔DSA编号:   DSA-2019-084
误差品级:   高危
CVSS评分:   暂无
影响规模:   Dell SupportAssist for Business PCs版本2.0;;;;;Dell SupportAssist for Home PCs 3.2.1及之前的所有版本

误差详情


SupportAssist是戴尔电脑上预装置的一个软件,,用于检查系统硬件和软件的运行状态,,该软件以SYSTEM权限运行。。 。。。SafeBreach Labs研究职员发明该软件保存DLL挟制误差(CVE-2019-12280),,允许远程攻击者将恣意未署名的DLL加载到以SYSTEM权限运行的效劳中,,从而实现权限提升和长期性 - 包括对物理内存、系统治理BIOS等底层组件的读/写会见。。 。。。该误差使攻击者能够通过已署名的效劳加载和执行恶意payload,,攻击者可将此能力用于执行或逃避检测等差别目的,,例如:应用程序白名单绕过、署名验证绕过。。 。。。


凭证SafeBreach的报告,,该误差的基础缘故原由是:


1、缺乏清静的DLL加载。。 。。。代码中使用LoadLibraryW要领,,而不是LoadLibraryExW;;;;;这允许未经授权的用户通过某些标记来界说搜索顺序,,例如LOAD_LIBRARY_SEARCH_DLL_LOAD_DIR。。 。。。反过来,,该标记又限制只在自己的文件夹中搜索DLL,,阻止了在PATH变量中搜索DLL的情形。。 。。。


2、没有对二进制文件举行署名验证。。 。。。该程序没有验证它将加载的DLL是否已署名,,因此它将加载恣意未署名的DLL。。 。。。


由于戴尔SupportAssist使用的组件是由第三方PC-Doctor开发和维护的,,因此该误差也影响到依赖PC-Doctor的其它PC制造商。。 。。。SafeBreach Labs确认受影响的组件是PC-Doctor Toolbox for Windows,,该组件被以下工具所使用:


CORSAIR ONE Diagnostics
CORSAIR Diagnostics
Staples EasyTech Diagnostics
Tobii I-Series Diagnostic Tool
Tobii Dynavox Diagnostic Tool

误差时间线:


4月29日 - 报告误差
5月08日 - 戴尔确认该误差
5月21日 - 戴尔将误差发送给PC-Doctor
5月22日 - 获得编号CVE-2019-12280,,assign给PC-Doctor
5月28日 - 戴尔宣布SupportAssist更新,,修复该误差
6月19日 - 误差披露

修复建议


建议戴尔用户更新至以下版本:


Dell SupportAssist for Business PCs 版本2.0.1
Dell SupportAssist for Home PCs 版本3.2.2

参考链接


https://www.dell.com/support/article/cn/zh/cndhs1/sln317291/dsa-2019-084-dell-supportassist-for-business-pcs-and-dell-supportassist-for-home-pcs-security-update-for-pc-doctor-vulnerability?lang=en
https://safebreach.com/Post/OEM-Software-Puts-Multiple-Laptops-At-Risk
https://thehackernews.com/2019/06/dells-supportassist-hacking.html