戴尔SupportAssist DLL劫持漏洞

宣布时间 2019-06-22

配景描述

6月21日戴尔宣布宁静通报，敦促用户更新戴尔电脑上预安装的SupportAssist软件，以修复DLL劫持漏洞（CVE-2019-12280）。该漏洞可被具有通例用户权限的攻击者利用，通过恶意DLL文件进行提权和获得持久性。

漏洞列表

CVE ID ： CVE-2019-12280
戴尔DSA编号： DSA-2019-084
漏洞品级：高危
CVSS评分：暂无
影响范围： Dell SupportAssist for Business PCs版本2.0；Dell SupportAssist for Home PCs 3.2.1及之前的所有版本

漏洞详情

SupportAssist是戴尔电脑上预安装的一个软件，用于检查系统硬件和软件的运行状况，该软件以SYSTEM权限运行。SafeBreach Labs研究人员发现该软件存在DLL劫持漏洞（CVE-2019-12280），允许远程攻击者将任意未签名的DLL加载到以SYSTEM权限运行的服务中，从而实现权限提升和持久性 - 包罗对物理内存、系统管理BIOS等底层组件的读/写访问。该漏洞使攻击者能够通过已签名的服务加载和执行恶意payload，攻击者可将此能力用于执行或逃避检测等差异目的，例如：应用法式白名单绕过、签名验证绕过。

凭据SafeBreach的陈诉，该漏洞的基础原因是：

1、缺乏宁静的DLL加载。代码中使用LoadLibraryW要领，而不是LoadLibraryExW；这允许未经授权的用户通过某些标志来界说搜索顺序，例如LOAD_LIBRARY_SEARCH_DLL_LOAD_DIR。反过来，该标志又限定只在自己的文件夹中搜索DLL，制止了在PATH变量中搜索DLL的情况。

2、没有对二进制文件进行签名验证。该法式没有验证它将加载的DLL是否已签名，因此它将加载任意未签名的DLL。

由于戴尔SupportAssist使用的组件是由第三方PC-Doctor开发和维护的，因此该漏洞也影响到依赖PC-Doctor的其它PC制造商。SafeBreach Labs确认受影响的组件是PC-Doctor Toolbox for Windows，该组件被以下工具所使用：

CORSAIR ONE Diagnostics
CORSAIR Diagnostics
Staples EasyTech Diagnostics
Tobii I-Series Diagnostic Tool
Tobii Dynavox Diagnostic Tool

漏洞时间线：

4月29日 - 陈诉漏洞
5月08日 - 戴尔确认该漏洞
5月21日 - 戴尔将漏洞发送给PC-Doctor
5月22日 - 获得编号CVE-2019-12280，assign给PC-Doctor
5月28日 - 戴尔宣布SupportAssist更新，修复该漏洞
6月19日 - 漏洞披露

修复建议

建议戴尔用户更新至以下版本：

Dell SupportAssist for Business PCs 版本2.0.1
Dell SupportAssist for Home PCs 版本3.2.2

参考链接

https://www.dell.com/support/article/cn/zh/cndhs1/sln317291/dsa-2019-084-dell-supportassist-for-business-pcs-and-dell-supportassist-for-home-pcs-security-update-for-pc-doctor-vulnerability?lang=en
https://safebreach.com/Post/OEM-Software-Puts-Multiple-Laptops-At-Risk
https://thehackernews.com/2019/06/dells-supportassist-hacking.html

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究

戴尔SupportAssist DLL劫持漏洞

关于东森平台

解决方案

宁静研究

联系东森平台

7*24小时服务热线