戴尔SupportAssist DLL劫持缝隙

颁布功夫 2019-06-22

布景描述

6月21日戴尔颁布安全传递，，督促用户更新戴尔电脑上预装置的SupportAssist软件，，以修复DLL劫持缝隙（CVE-2019-12280）。。该缝隙可被拥有通例用户权限的攻击者利用，，通过恶意DLL文件进行提权和获得悠久性。。

缝隙列表

CVE ID ： CVE-2019-12280
戴尔DSA编号： DSA-2019-084
缝隙等级：高危
CVSS评分：暂无
影响领域： Dell SupportAssist for Business PCs版本2.0；；；Dell SupportAssist for Home PCs 3.2.1及之前的所有版本

缝隙详情

SupportAssist是戴尔电脑上预装置的一个软件，，用于查抄系统硬件和软件的运行情况，，该软件以SYSTEM权限运行。。SafeBreach Labs钻研人员发现该软件存在DLL劫持缝隙（CVE-2019-12280），，允许远程攻击者将肆意未署名的DLL加载到以SYSTEM权限运行的服务中，，从而实现权限提升和悠久性 - 蕴含对物理内存、、系统治理BIOS等底层组件的读/写接见。。该缝隙使攻击者可能通过已署名的服务加载和执行恶意payload，，攻击者可将此能力用于执行或逃避检测等分歧主张，，例如：利用法式白名单绕过、、署名验证绕过。。

凭据SafeBreach的汇报，，该缝隙的底子原因是：

1、、不足安全的DLL加载。。代码中使用LoadLibraryW步骤，，而不是LoadLibraryExW；；；这允许未经授权的用户通过某些象征来界说搜索挨次，，例如LOAD_LIBRARY_SEARCH_DLL_LOAD_DIR。。反过来，，该象征又限定只在自己的文件夹中搜索DLL，，预防了在PATH变量中搜索DLL的情况。。

2、、没有对二进制文件进行署名验证。。该法式没有验证它将加载的DLL是否已署名，，因而它将加载肆意未署名的DLL。。

由于戴尔SupportAssist使用的组件是由第三方PC-Doctor开发和守护的，，因而该缝隙也影响到依赖PC-Doctor的其它PC制作商。。SafeBreach Labs确认受影响的组件是PC-Doctor Toolbox for Windows，，该组件被以下工具所使用：

CORSAIR ONE Diagnostics
CORSAIR Diagnostics
Staples EasyTech Diagnostics
Tobii I-Series Diagnostic Tool
Tobii Dynavox Diagnostic Tool

缝隙功夫线：

4月29日 - 汇报缝隙
5月08日 - 戴尔确认该缝隙
5月21日 - 戴尔将缝隙发送给PC-Doctor
5月22日 - 获得编号CVE-2019-12280，，assign给PC-Doctor
5月28日 - 戴尔颁布SupportAssist更新，，修复该缝隙
6月19日 - 缝隙披露

修复建议

建议戴尔用户更新至以下版本：

Dell SupportAssist for Business PCs 版本2.0.1
Dell SupportAssist for Home PCs 版本3.2.2

参考链接

https://www.dell.com/support/article/cn/zh/cndhs1/sln317291/dsa-2019-084-dell-supportassist-for-business-pcs-and-dell-supportassist-for-home-pcs-security-update-for-pc-doctor-vulnerability?lang=en
https://safebreach.com/Post/OEM-Software-Puts-Multiple-Laptops-At-Risk
https://thehackernews.com/2019/06/dells-supportassist-hacking.html

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

司法申明

OG东方厅

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠道系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系OG东方厅

安全钻研

戴尔SupportAssist DLL劫持缝隙

关于OG东方厅

解决规划

安全钻研

联系OG东方厅

7*24小时服务热线