Oldindan o’rnatilgan yordamchi dasturdagi zaiflik Dell kompyuterlarini buzib kirish xavfiga duchor qiladi.
Muammo Windows operatsion tizimi bilan birga yetkazib beriladigan barcha Dell qurilmalariga ta’sir qiladi.
Xavfli zaiflik (CVE-2019-3719) Dell SupportAssist dasturida aniqlandi, bu dastur nosozliklarni tuzatish, diagnostika qilish va drayverlarni avtomatik yangilash uchun ishlatiladi. Ushbu zaiflik Dell kompyuterlari va noutbuklarida administrator imtiyozlari bilan kodni masofadan turib bajarish imkonini beradi. Mutaxassislarning hisob-kitoblariga ko’ra, muammo ko’p sonli qurilmalarga ta’sir qiladi, chunki Dell SupportAssist Windows bilan birga yetkazib beriladigan barcha Dell kompyuterlari va noutbuklariga oldindan o’rnatilgan (OTsiz sotiladigan tizimlar zaif emas). Xatoni aniqlagan xavfsizlik bo’yicha tadqiqotchi Bill Demirkapining so’zlariga ko’ra, ma’lum holatlarda CVE-2019-3719 zaif qurilmalarni osongina nazorat qilish usulini taqdim etadi. Buning uchun tajovuzkor jabrlanuvchini Dell SupportAssist dasturini tizimdagi zararli fayllarni yuklab olish va ishga tushirishga majbur qiladigan JavaScript kodini o’z ichiga olgan zararli veb-saytga jalb qilishi kerak bo’ladi. Asbob administrator imtiyozlari bilan ishlayotganligi sababli, tajovuzkor maqsadli qurilmaga to’liq kirish huquqini qo’lga kiritadi.
Tadqiqotchi tushuntirganidek, masofadan turib kodni bajarish uchun tajovuzkor jabrlanuvchining kompyuteriga ARP va DNS spoofing hujumlarini amalga oshirishi kerak bo’ladi. Demirkapi ikkita mumkin bo’lgan stsenariyni bayon qildi: birinchisi, ARP va DNS spoofing hujumlari uchun kamida bitta qurilmadan foydalanish mumkin bo’lgan ommaviy Wi-Fi tarmoqlariga yoki yirik korporativ tarmoqlarga kirishni o’z ichiga oladi; ikkinchisi, mahalliy routerni buzish va to’g’ridan-to’g’ri qurilmadagi DNS trafikini o’zgartirishni o’z ichiga oladi.
Dell allaqachon zaiflikni Dell SupportAssistning yangi versiyasi – 3.2.0.90 ni chiqarish bilan tuzatdi, zaif Dell qurilmalari egalariga uni iloji boricha tezroq o’rnatish tavsiya etiladi.
Demirkapi GitHub’da zaiflikdan foydalanish uchun kontseptsiya isboti kodini joylashtirdi va hujumning amalda ko‘rsatilayotgan videosini ham nashr etdi.
