Zaradi amaterske napake so računalniki z Dell Support Assistant izpostavljeni napadom stopnjevanja privilegijev

Podjetje za varnostne raziskave SafeBreach Lab je odkril ranljivost v Dellovem pripomočku SupportAssist, ki je v paketu z desetinami milijonov računalnikov Dell, ki bi lahko nepooblaščenim lokalnim uporabnikom ali aplikacijam z nizkimi privilegiji omogočili, da prevzamejo nadzor nad osebnim računalnikom.

Težava je v tem, da aplikacija SupportAssist deluje s privilegiji SYSTEM, kar omogoča aplikaciji, da na primer namesti nove gonilnike in druge posodobitve, vendar nalaga datoteke DLL z lokacij, ki so pod nadzorom uporabnikov z nizkimi privilegiji, kar pomeni, da se lahko vbrizgajo zlonamerne datoteke DLL, ki bi hekerjem omogočil, da delajo, kar hočejo.

“Glede na Dellovo spletno mesto je SupportAssist vnaprej nameščen na večini naprav Dell z operacijskim sistemom Windows. To pomeni, da dokler programska oprema ni popravljena, ranljivost vpliva na milijone uporabnikov računalnikov Dell,« pravijo raziskovalci.

Obseg težave je še večji zaradi dejstva, da se programska oprema dejansko uporablja na več kot Dell PCS, saj je Dellov SupportAssis dejansko programska oprema PC-Doctor z belimi oznakami, za katero družba pravi, da je na več kot 100 milijonih osebnih računalnikov.

Na srečo je PC-Doctor že izdal posodobitev za odpravo težave z Dell SupportAssist za poslovne osebne računalnike različice 2.0.1 in Dell SupportAssist za domače osebne računalnike različice 3.2.2, vendar nista več ranljiva.

Vendar to ni prvič, da je Dellova programska oprema za upravljanje osebnih računalnikov povzročila težave, saj ima Dell aprila letos resnejšo težavo kritične ranljivosti pri izvajanju kode na daljavo v SupportAssistu, ki bi hekerjem omogočila oddaljeno namestitev zlonamerne programske opreme v vaš računalnik. . Epizode kažejo, da so uporabniki lahko varnejši, če podjetja prepustijo vzdrževanje računalniške programske opreme Microsoftu, ki bi, čeprav ni popoln, vsaj prevzel odgovornost za to težavo.

Via TheHackerNews