戴尔SupportAssist DLL劫持漏洞安全通告
发布时间 2019-06-25漏洞编号和级别
CVE编号:CVE-2019-12280,危险级别:高危,CVSS分值:官方未评定
影响版本
受影响的版本
Dell SupportAssist for Home PCs 3.2.1及之前的所有版本
漏洞概述
6月21日戴尔发布安全通报,敦促用户更新戴尔电脑上预安装的SupportAssist软件,以修复DLL劫持漏洞(CVE-2019-12280)。该漏洞可被具有常规用户权限的攻击者利用,通过恶意DLL文件进行提权和获得持久性。
SupportAssist是戴尔电脑上预安装的一个软件,用于检查系统硬件和软件的运行状况,该软件以SYSTEM权限运行。研究人员发现该软件存在DLL劫持漏洞,允许远程攻击者将任意未签名的DLL加载到以SYSTEM权限运行的服务中,从而实现权限提升和持久性 - 包括对物理内存、系统管理BIOS等底层组件的读/写访问。该漏洞使攻击者能够通过已签名的服务加载和执行恶意payload,攻击者可将此能力用于执行或逃避检测等不同目的,例如:应用程序白名单绕过、签名验证绕过。
该漏洞的根本原因是:
1、缺乏安全的DLL加载。代码中使用LoadLibraryW方法,而不是LoadLibraryExW;这允许未经授权的用户通过某些标记来定义搜索顺序,例如LOAD_LIBRARY_SEARCH_DLL_LOAD_DIR。反过来,该标记又限定只在自己的文件夹中搜索DLL,避免了在PATH变量中搜索DLL的情况。
2、没有对二进制文件进行签名验证。该程序没有验证它将加载的DLL是否已签名,因此它将加载任意未签名的DLL。
由于戴尔SupportAssist使用的组件是由第三方PC-Doctor开发和维护的,因此该漏洞也影响到依赖PC-Doctor的其它PC制造商。确认受影响的组件是PC-Doctor Toolbox for Windows,该组件被以下工具所使用:
CORSAIR Diagnostics
Staples EasyTech Diagnostics
Tobii I-Series Diagnostic Tool
Tobii Dynavox Diagnostic Tool
漏洞验证
POC:https://safebreach.com/Post/OEM-Software-Puts-Multiple-Laptops-At-Risk。
修复建议
建议戴尔用户更新至以下版本:
Dell SupportAssist for Home PCs 版本3.2.2
参考链接
京公网安备11010802024551号