Una vulnerabilidad del software preinstalado de Dell deja a millones de portátiles desprotegidos

Este año está siendo terrible en cuanto a descubrimiento de vulnerabilidades, donde a saber cuantos hacker han podido hacer uso de ellas, ya sea en AMD, Intel o incluso NVIDIA. Hoy le toca el turno a otra empresa dentro del sector como es Dell, la cual fue informada hace más de dos meses de una vulnerabilidad encontrada en su programa SupportAssist, la cual está instalada en millones de portátiles y PC.

Dell SupportAssist: el culpable de la vulnerabilidad

Dell-SupportAssist-Vulnerabilidad

Lo cierto es que ya son varias empresas las que ven cómo sus softwares se ven envueltos en vulnerabilidades de gran calado, donde las mitigaciones han tenido que ser incluidas de forma exprés en la mayoría de casos. En el caso de Dell, tal y como ocurre con este tipo de problemas, la compañía fue avisada el 29 de abril de este año mediante SafeBreach Labs, los investigadores que hicieron el descubrimiento, por lo que se ha dado tiempo a la compañía para que ponga medios y mitigue dicha vulnerabilidad.

Ésta ha sido identificada como CVE-2019-12280, donde como hemos dicho afecta a su software SupportAssist, la cual viene preinstalada en millones de portátiles y PC de la compañía, por lo que muchísimos usuarios están afectados. Pero ¿qué conseguía realmente vulnerar esta CVE-2019-12280?

Esta vulnerabilidad permite que el atacante escale en los privilegios del sistema hasta nivel del administrador, accediendo con ello a cualquier información confidencial.

El problema llega desde precisamente los privilegios del propio programa, ya que SupportAssist se ejecuta con nivel de SISTEMA, donde al conectarse con el sitio web de asistencia de Dell, detectando automáticamente la etiqueta de servicio o el código de servicio expreso del producto Dell, analiza los drivers de los dispositivos existentes e instala actualizaciones de los drivers faltantes o disponibles, junto con la realización de pruebas de diagnóstico de hardware.

La brecha llega con los archivos .dll en ciertas carpetas

chrome_2UUZvUPPO5

Los investigadores de SafeBreach descubrieron que el software de Dell no carga de forma segura los archivos .dll de las carpetas seleccionadas para su uso por tal programa. Esto deja una brecha para que los atacantes puedan dañar o reemplazar incluso dichas .dll por archivos maliciosos.

En ese momento, el código puede inyectarse, donde es ejecutado con privilegios de administrador y dota al atacante del control del sistema de forma completa si es preciso. Dell SupportAssist está escrito, mantenido y firmado por PC-Doctor, por lo que es posible, según los investigadores, que otras empresas que usen software similar de la marca estén también afectadas.

Esto agrava todavía más la vulnerabilidad, ya que la propia utilidad PC-Doctor ha sido instalada por más de un fabricante con más de 100 millones de copias en sistemas informáticos de todo el mundo. Por suerte, PC-Doctor lanzó una versión con correcciones el 28 de mayo, parcheando así también las versiones de SupportAssist.

Por lo tanto, se aconseja a los usuarios que de forma manual (si no se ha producido ya de forma automática) actualicen Dell SupportAssist a la versión 2.0.1 para Business PCs y a la 3.2.2 para los Home PCs.