AGGIORNATO con un commento di Dell e ulteriori informazioni da SafeBreach.
Secondo un nuovo rapporto di SafeBreach, con sede a Sunnyvale, in California, milioni di computer Dell che eseguono Windows, e forse molti altri computer di altre marche, sono vulnerabili a un difetto nel loro software di integrità del sistema interno che potrebbe consentire agli hacker di assumere il controllo delle macchine. .
Nelle macchine Dell, il software si chiama SupportAssist. È realizzato da PC-Doctor, un produttore di software di diagnostica hardware che concede in licenza il suo software ad altri produttori di dispositivi elettronici.
I ricercatori di SafeBreach hanno affermato che PC-Doctor si è rifiutato di fornire loro un elenco degli altri suoi clienti, ma il sito Web di PC-Doctor afferma che "i principali produttori hanno installato oltre 100 milioni di copie di PC-Doctor per Windows sui sistemi informatici di tutto il mondo".
Dell e PC-Doctor hanno rilasciato un aggiornamento del firmware che risolve questo problema, che è possibile installare seguendo le istruzioni sulla pagina di supporto di Dell per il difetto di SupportAssist. Tuttavia, potrebbe essere necessario attendere ulteriori informazioni sui dispositivi realizzati da altri licenziatari del software PC-Doctor.
La funzione SupportAssist è vulnerabile perché non gestisce in modo sicuro i repository di codice condiviso noti come DLL. Per evitare duplicazioni, i moderni sistemi operativi archiviano parti di codice utilizzate da molti programmi in repository comuni chiamati librerie di collegamento diretto, abbreviate in DLL in Windows o dylib in macOS.
I programmi caricano i file DLL all'avvio, ma gli aggressori possono creare trappole corrompendo le DLL esistenti o sostituendo file DLL dannosi, che poi iniettano codice dannoso nei programmi che utilizzano tali DLL. La maggior parte dei programmi ha modi per prevenire tale "iniezione di DLL", ma Dell SupportAssist chiaramente non lo fa, perché è così che i ricercatori di SafeBreach sono stati in grado di attaccarlo.
Poiché SupportAssist viene eseguito come SYSTEM, ha hook molto profondi nel sistema operativo e il dirottamento delle sue funzioni consentirebbe a un utente malintenzionato di fare praticamente qualsiasi cosa sulla macchina, soprattutto perché è un servizio "firmato" riconosciuto come sicuro da Microsoft.
Sfortunatamente, il software crea una porta aperta per gli aggressori perché cerca alcune DLL che non erano sui computer Dell utilizzati dal team di SafeBreach: AlienFX.dll, atiadlxx.dll, atiadlxy.dll e LenovoInfo.dll.
L'ultimo è interessante perché una macchina Dell non dovrebbe contenere un file chiamato "LenovoInfo.dll". Potrebbe essere un indizio sull'identità di uno degli altri clienti di PC-Doctor. "AlienFX.dll" ha più senso perché Dell possiede Alienware, produttore di PC da gioco.
Ad ogni modo, poiché nessuna di queste DLL esisteva effettivamente sulle macchine di prova, i ricercatori di SafeBreach hanno semplicemente creato i propri file e hanno dato loro i nomi dei file mancanti. Ecco, Dell SupportAssist ha caricato quei file ed eseguito il loro codice, senza controllare chi ha creato i file o dove si trovavano nel sistema.
SafeBreach ha affermato che Dell SupportAssist, e presumibilmente PC-Doctor, potrebbe mitigare questo problema consentendo solo le DLL "firmate" da produttori di software autorizzati e limitando le ricerche di DLL solo alle cartelle in cui dovrebbero essere DLL specifiche.
SafeBreach ha segnalato questa vulnerabilità a Dell il 29 aprile e Dell a sua volta l'ha segnalata a PC-Doctor, che ha elencato la vulnerabilità nel database delle vulnerabilità comune come CVE-2019-12280.
AGGIORNARE: Dell ha contattato Tom's Guide per affermare che "Dell SupportAssist non è prodotto da PC-Doctor. La vulnerabilità scoperta da SafeBreach è una vulnerabilità di PC-Doctor, che è un componente di terze parti fornito con Dell SupportAssist per PC".
"Più del 90% dei clienti fino ad oggi ha ricevuto l'aggiornamento, rilasciato il 28 maggio 2022-2023, e non è più a rischio. Dell SupportAssist si aggiorna automaticamente se gli aggiornamenti automatici sono abilitati e la maggior parte dei clienti ha gli aggiornamenti automatici attivati".
SafeBreach ha pubblicato una versione aggiornata dei suoi risultati con l'informazione che molti altri software erano vulnerabili: il summenzionato PC-Doctor Toolbox per Windows e altre versioni che secondo SafeBreach erano state "rinominate" come Corsair One Diagnostics, Corsair Diagnostics, Staples Easy Tech Diagnostics, Tobii I-Series Diagnostic Tool e Tobii Dynavox Diagnostic Tool.
Credito immagine: ReviewsExpert.netazine
Guida per laptop Dell
- Suggerimento precedente
- Prossimo Consiglio
- I migliori laptop e Chromebook Dell
- Scopri come Dell si confronta con altri marchi di laptop
- Scheda di valutazione e report del supporto tecnico Dell
- Cosa c'è nella garanzia Dell?