image

100.000 Dell-gebruikers kwetsbaar door lek in supporttool

vrijdag 3 april 2015, 10:58 door Redactie, 4 reacties

Zeker 100.000 Dell-gebruikers lopen risico door een lek in de Dell System Detect supporttool waardoor een aanvaller in het ergste geval het systeem volledig kan overnemen als er een verkeerde website wordt bezocht. Dell System Detect wordt op de supportpagina van Dell aangeboden en helpt bij het vinden van de benodigde drivers voor de computer. Onderzoeker Tom Forbes ontdekte een kwetsbaarheid in het programma waardoor een aanvaller willekeurige code op de computer kan uitvoeren, zoals het installeren van malware.

System Detect installeert een webserver die op poort 8884 naar inkomende berichten van de Dell website luistert. Dell bleek echter niet goed te controleren of deze inkomende berichten ook daadwerkelijk van de Dell-website afkomstig zijn. Zo werden ook verzoeken van domeinen met daarin de tekst "Dell" geaccepteerd. Zodra de gebruiker een domein met daarin de tekst "Dell" bezoekt zou dit domein een verzoek kunnen sturen dat de computer accepteert.

De tool bleek daarnaast niet alleen de Service Tag van de computer weer te geven voor het zoeken naar drivers, maar ook andere mogelijkheden te bieden, zoals het downloaden en installeren van bestanden. Ook bij het downloaden en installeren van bestanden schoot de controle tekort, waardoor Forbes malware naar een computer kon sturen zodra een domein met daarin "Dell" werd bezocht.

Het probleem wordt vergroot doordat System Detect na de installatie in de achtergrond actief blijft en zich na een herstart van het systeem weer automatisch zal starten. Forbes waarschuwde Dell, dat een update uitbracht. Daarin werd gekeken of het domein ".dell." bevatte, Daardoor was het nog steeds mogelijk om een aanval uit te voeren door bijvoorbeeld een subdomein als dell.domeinnaam.tld aan te maken.

Patch

Deze week heeft Dell weer een nieuwe versie (6.0.14) uitgebracht die ervoor zorgt dat alleen verzoeken van "*.dell.com" worden geaccepteerd. Daarnaast zal de software niet meer automatisch starten. Het probleem is echter dat oudere versies van de software zichzelf niet automatisch updaten en gebruikers mogelijk niet meer weten dat ze die ooit geïnstalleerd hebben.

Het Finse anti-virusbedrijf deed een scan onder klanten van het bedrijf en ontdekte zo'n 100.000 computers waar System Detect op was geïnstalleerd. Slechts 1% daarvan beschikt over de meest recente versie. Het werkelijke aantal Dell-computers met kwetsbare versies van System Detect ligt waarschijnlijk vele malen hoger, omdat de 100.000 kwetsbare gebruikers alleen klanten van F-Secure zijn. De nieuwste versie van System Detect is via deze pagina te downloaden.

Reacties (4)
03-04-2015, 11:39 door Anoniem
Dell.com
Of
Dell.com.willekeurigwatanders.nl
03-04-2015, 11:43 door Anoniem
6.0.14
.15 staat al reeds op hun ftp.
03-04-2015, 17:23 door Anoniem
dell verkoopt goede, degelijke pc's

heb zelf al twee laptops van dell gekocht, waaronder de huidige.
zeer linux vriendelijk
03-04-2015, 18:30 door Anoniem
Iemand een idee hoe je dit op je computerpark kunt oplossen? Gescripte uninstall van bepaalde versies van het programma?
We installeren het niet by default, maar op een aantal pc's zal het wel terecht gekomen zijn (vaak na ingrepen van ons...)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.