image

Lek in Dell SupportAssist geeft lokale aanvaller adminrechten

dinsdag 11 februari 2020, 12:26 door Redactie, 9 reacties

Een beveiligingslek in Dell SupportAssist, dat op de meeste Dell-computers staat geïnstalleerd, kan een lokale aanvaller die al toegang tot een systeem heeft adminrechten geven. SupportAssist is volgens Dell "proactieve bewakingssoftware" die de status van het systeem proactief controleert.

"Wanneer er een probleem wordt geconstateerd, wordt de noodzakelijke informatie over de systeemstatus automatisch verzonden naar Dell zodat het probleemoplossingsproces van start kan gaan. Dell neemt contact met u op om te overleggen over de oplossing en te voorkomen dat het probleem kostbare gevolgen krijgt.", aldus de uitleg van Dell.

Een "uncontrolled search path" kwetsbaarheid zorgt ervoor dat een lokale aanvaller met verminderde rechten willekeurige dll-bestanden door SupportAssist kan laten laden, die vervolgens met adminrechten worden uitgevoerd. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheid is die met een 7,8 beoordeeld. Dell heeft een beveiligingsupdate beschikbaar gemaakt. Deze update wordt automatisch geïnstalleerd wanneer de automatische updatefunctie staat ingeschakeld. Anders moet de update handmatig worden gedownload.

Reacties (9)
11-02-2020, 12:42 door Bitje-scheef
Toppertje weer...
11-02-2020, 12:57 door Anoniem
Triest en dit kom je nog bij veel applicaties tegen. MS boeit het ook niet want in de eigen programmas weren ze deze vector als security issue tenzij het misbruikt kan worden als je een document opent en de Dll uit CWD geladen wordt. Ook exploit-db neemt ze niet meer aan.

Zit een aanvaller eenmaal op een machine in je netwerk dan zal hij dus waarschijnlijk met weinig moeite rechten kunnen verhogen.
11-02-2020, 13:12 door Anoniem
Door Anoniem: Triest en dit kom je nog bij veel applicaties tegen. MS boeit het ook niet want in de eigen programmas weren ze deze vector als security issue tenzij het misbruikt kan worden als je een document opent en de Dll uit CWD geladen wordt. Ook exploit-db neemt ze niet meer aan.

Zit een aanvaller eenmaal op een machine in je netwerk dan zal hij dus waarschijnlijk met weinig moeite rechten kunnen verhogen.

Als een aanvaller überhaupt in je netwerk zit, ben je toch al de klos...?
11-02-2020, 13:21 door Erik van Straten
Door Anoniem: Zit een aanvaller eenmaal op een machine in je netwerk dan zal hij dus waarschijnlijk met weinig moeite rechten kunnen verhogen.
Helaas heb je gelijk. Maar dat betekent niet dat we maar achterover moeten leunen omdat het nemen van maatregelen toch geen zin zou hebben (niet dat je dat suggereert, maar wellicht roepen schouderophalers en adminprivilegeeisers na zulke bijdragen "zie je wel, hardening heeft toch geen zin").

Ook als je niet elke ongeautoriseerde/criminele stap kunt voorkomen, kun je wel je uiterste best doen om dat stoort stappen te loggen en daarop te monitoren. Door het aanvallers daarbij zo moeilijk mogelijk te maken, kun je bovedien tijd winnen en/of ze dwingen opzichtiger te werk te gaan - en zo grotere schade voorkomen.

Ten slotte moeten we de druk op softwaremakers opvoeren om dit soort kwetsbaarheden te voorkomen en zeker niet te bagatelliseren.
11-02-2020, 13:48 door Anoniem
Door Anoniem:
Door Anoniem: Triest en dit kom je nog bij veel applicaties tegen. MS boeit het ook niet want in de eigen programmas weren ze deze vector als security issue tenzij het misbruikt kan worden als je een document opent en de Dll uit CWD geladen wordt. Ook exploit-db neemt ze niet meer aan.

Zit een aanvaller eenmaal op een machine in je netwerk dan zal hij dus waarschijnlijk met weinig moeite rechten kunnen verhogen.

Als een aanvaller überhaupt in je netwerk zit, ben je toch al de klos...?

Niet bepaald. Je kan het zien als 's nachts een bank binnengeraken. Dat is al een groot risico opzich, maar je bent de kluis nog niet binnen. Hangt er maar van af wat je wilt doen. Bij een netwerk heb je ook zo'n stappen als het om gebruikers gaat: "netwerk > computer (user rechten) > computer (admin rechten)". Verder is malware zeer zichtbaar en gemakkelijk te verwijderen als er alleen user rechten zijn.
11-02-2020, 14:17 door Anoniem
Ik zou wel graag credits willen geven aan @EranShimony die dit bevinding gedaan heeft.
11-02-2020, 15:14 door Anoniem
Door Anoniem:
Door Anoniem: Triest en dit kom je nog bij veel applicaties tegen. MS boeit het ook niet want in de eigen programmas weren ze deze vector als security issue tenzij het misbruikt kan worden als je een document opent en de Dll uit CWD geladen wordt. Ook exploit-db neemt ze niet meer aan.

Zit een aanvaller eenmaal op een machine in je netwerk dan zal hij dus waarschijnlijk met weinig moeite rechten kunnen verhogen.

Als een aanvaller überhaupt in je netwerk zit, ben je toch al de klos...?
Nou, nee. Als je defense in depth toegepast hebt en de rest van je netwerk ook veilig is (up-to-date, veilige configuraties, assume breach, zonering, sterke wachtwoorden, enz) kan een aanvaller, ook als hij in je netwerk zit, er redelijk lang over doen om zich verder naar binnen te wurmen. En als je detectiemaatregelen hebt die de aanvaller spotten, of de aanvaller op een andere manier (bijvoorbeeld door wachtwoordrotatie) uit het netwerk geweerd wordt, is het wellicht mogelijk om verdere schade nog af te wenden. En aanvallers maken dus bijvoorbeeld o.a. gebruik van privilege escalation om zich verder in het netwerk te wurmen.
11-02-2020, 18:55 door Anoniem
En alle Windows gebruikers maar hameren op: "log in met zo weinig mogelijk rechten".
Zelfs dat blijkt dus niet te werken...
12-02-2020, 16:57 door Anoniem
Door Anoniem: En alle Windows gebruikers maar hameren op: "log in met zo weinig mogelijk rechten".
Zelfs dat blijkt dus niet te werken...
Tja.... Alleen als je een Dell hebt, met die software geinstalleerd staan.
Beperkte risico dus.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.