戴尔SupportAssist软件可被用于植入恶意DLL文件

近期戴尔发布了一项安全更新，以修补SupportAssist客户端的漏洞，它可帮助本地攻击者在目标机器上以管理员权限执行任意代码。

根据戴尔网站的说法，SupportAssist软件是“预装在大多数运行Windows操作系统的戴尔机器上”的默认软件。

SupportAssist会“主动检查系统硬件和软件的健康状况”，当发现问题时，相关的系统状态信息将被发送到戴尔服务器中，以进行故障诊断。

潜藏的漏洞

正如Dell在其报告中所解释的，“存在于本地的低权限用户可以利用此漏洞，通过SupportAssist加载任意恶意dll，从而以管理员权限实现任意命令执行。”

这个由Cyberark的Eran Shimony所报告的漏洞被标记为CVE-2020-5316，CVSS v3的基础分数为7.8，影响了以下版本的戴尔软件：

Dell SupportAssist for business PCs version 2.1.3以及之前的版本

Dell SupportAssist for home PCs version 3.4以及之前的版本

目前该公司针对商用电脑发布了Dell SupportAssist版本2.1.4，针对家用电脑发布了Dell SupportAssist版本3.4.1，以修复这个漏洞。

戴尔建议所有用户尽快更新电脑上的戴尔SupportAssist软件。如果被利用成功，攻击者可在未打补丁的机器上通过SupportAssist执行任意恶意payload。

虽然这个漏洞的威胁级别不是很高，因为它需要本地访问和目标系统上的低权限，但类似这种安全问题（某些情况下需要管理员权限）通常被评为中高严重性。

现如今，越来越多的攻击者开始利用Windows中DLL文件的搜索顺序植入恶意DLL，从而实现权限提升以及持久控制设备。

修复漏洞

戴尔表示，如果启用了自动升级功能，所有版本的SupportAssist都会自动安装最新发布的版本。

但如果没有开启自动更新功能，家庭用户可以通过打开SupportAssist软件，在设置窗口点击“关于SupportAssist”，查看更新版本，然后点击显示的“立即更新”，手动进行更新。

对于商业客户来说，这个升级过程就有点复杂，戴尔建议遵循Dell support portassist For business PCs部署指南中的部署说明进行操作。

戴尔曾在2019年5月修补了SupportAssist客户端软件中的一个远程代码执行漏洞，该漏洞可让目标系统在同一网络访问层的未经身份验证的攻击者针对存在漏洞的设备远程执行命令。

2015年，安全研究员Tom Forbes在戴尔系统检测软件中发现了一个类似的远程代码执行漏洞。Forbes当时表示，该漏洞“可让攻击者在没有任何用户交互的情况下，触发恶意程序下载并执行任意文件”。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://www.bleepingcomputer.com/news/security/dell-supportassist-bug-exposes-business-home-pcs-to-attacks/