Máy tính Dell trở thành nạn nhân của các cuộc tấn công RCE bởi lỗ hổng trong SupportAssist

Dell mới đây đã âm thầm phát hành một bản cập nhật bảo mật mới để vá lỗ hổng phần mềm SupportAssist Client, có nguy cơ cho phép những kẻ tấn công không được xác thực trên cùng một lớp Network Access sử dụng mã độc thực thi từ xa các đặc quyền tùy ý trên máy tính của nạn nhân.

Theo thông tin được nêu trên trang web của Dell, phần mềm SupportAssist được "cài đặt sẵn trên hầu hết các thiết bị Dell mới chạy hệ điều hành Windows" và nó "được thiết kế để chủ động kiểm tra sức khỏe của hệ thống phần cứng cũng cũng như phần mềm trên máy tính của người dùng. Khi phát hiện ra sự cố, những thông tin trạng thái hệ thống cần thiết sẽ được gửi tới Dell để nhà sản xuất bắt tay vào phân tích và đưa ra biện pháp khắc phục sự cố".

• Phần mềm độc hại lưu trữ trong Google Sites gửi dữ liệu đến máy chủ MySQL

Về cơ bản, SupportAssist là một phần mềm cực kỳ hữu ích, cho thấy tự sự chu đáo của Dell trong chính sách chăm sóc khách hàng. Tuy nhiên, công cụ này lại có chứa lỗ hổng khiến nó vô tình trở thành trạm “trung chuyển” mã độc, khiến người dùng máy tính Dell dễ dàng trở thành nạn nhân của các cuộc tấn công RCE.

Hầu hết các máy tính Dell mới đều có nguy cơ tiếp xúc với các cuộc tấn công RCE

Theo như lời giải thích từ phía Dell, "trước tiên những kẻ tấn công không xác thực sẽ tiến hành chia sẻ lớp truy cập mạng (network access layer) với hệ thống dễ bị tấn công, sau đó chiếm quyền thực thi từ xa trên hệ thống dễ bị tổn thương bằng cách lừa người dùng (nạn nhân) tải xuống và thực thi các gói lệnh thực thi tùy ý thông qua máy khách SupportAssist từ các trang web của kẻ tấn công".

Lỗ hổng phần mềm được theo dõi này có định danh CVE-2019-3719 và đi kèm với điểm đánh giá mức độ nghiêm trọng cao là 8.0 theo thang đánh giá CVSSv3 được quy định bởi National Vulnerability Database (NVD), Hoa Kỳ.

Trên thực tế, Dell đã tiến hành vá phần mềm SupportAssist vào cuối tháng 4 vừa rồi sau khi nhận được một báo cáo lỗ hổng được gửi đi từ nhà nghiên cứu bảo mật 17 tuổi Bill Demirkapi vào ngày 10 tháng 10 năm 2018.

• Apple cập nhật XProtect để chặn phần mềm độc hại 'Windows' trên máy Mac

Ngoài ra, Dell cũng không quên khuyến nghị tất cả khách hàng của mình nên cập nhật SupportAssist Client càng sớm càng tốt, vì tất cả các phiên bản trước 3.2.0.90 trở lên đều có khả năng cao trở thành nạn nhân của các cuộc tấn công thực thi mã từ xa (RCE).

Lỗ hổng xác thực nguồn gốc không chính xác cũng đã được vá

Trong một động thái liên quan, Dell cũng đã tiến hành sửa lỗi xác thực nguồn gốc không phù hợp trong phần mềm SupportAssist Client được báo cáo bởi nhà nghiên cứu bảo mật John C. Hennessy-ReCar, được theo dõi với định danh CVE-2019-3718 và đi kèm với xếp hạng CVSS v3.0 mức độ nghiêm trọng cao là 8.8.

Phía Dell đã cho biết trong cùng một khuyến cáo bảo mật rằng "kẻ tấn công từ xa không xác thực có khả năng khai thác lỗ hổng này để cố gắng thực hiện các cuộc tấn công CSRF nhắm mục tiêu đến người dùng của các hệ thống bị ảnh hưởng".

Những khách hàng muốn tự bảo vệ mình khỏi các cuộc tấn công tiềm năng đang cố gắng khai thác lỗ hổng phần mềm này được khuyến khích cập nhật ứng dụng SupportAssist lên phiên bản mới nếu họ đang sử dụng các phiên bản trước 3.2.0.90.

Nhà nghiên cứu bảo mật Bill Demirkapi đã phát hiện ra rằng lỗ hổng RCE này hoàn toàn có thể bị khai thác bởi những kẻ tấn công sử dụng các cuộc tấn công giả mạo ARP và DNS để truyền payload RCE lên máy tính Dell của nạn nhân.

• Công ty dịch vụ CNTT lớn nhất Ấn Độ bị hacker “sờ gáy”

Bill Demirkapi sau đó đã tung ra một bài mô tả kỹ thuật chi tiết về các bước mà anh đã thực hiện để khám phá lỗ hổng phần mềm và bằng chứng khái niệm về RCE của Dell SupportAssist. Ngoài ra hacker này cũng đã xuất bản một video demo trên YouTube nêu chính xác quy trình thực hiện:

• Chiến dịch quảng cáo độc hại lạm dụng Chrome để chiếm đoạt 500 triệu phiên người dùng iOS

Đây không phải là lần đầu tiên các phần mềm của Dell bị phát hiện có chứa lỗ hổng bảo mật dễ bị khai thác để thực hiện các cuộc tấn công thực thi mã từ xa. Trước đó một lỗ hổng bảo mật tương tự đã được tìm thấy bởi nhà nghiên cứu bảo mật Tom Forbes trong chương trình Dell System Detect vào năm 2015. Vào thời điểm đó, Forbes nói rằng lỗ hổng đã "cho phép kẻ tấn công kích hoạt chương trình nhằm tải xuống và thực thi một tệp tùy ý mà không có bất kỳ tương tác người dùng nào".