Dell-devices vatbaar voor gijzeling op afstand
Gebruikers van Dell-laptops en -computers lopen het gevaar om hun apparaat vanaf afstand gegijzeld te zien worden door hackers, door een kwetsbaarheid in de Dell SupportAssist. De kwetsbaarheid zorgt ervoor dat hackers vanaf afstand het systeem over kunnen nemen van computers die een oudere versie van deze tool gebruiken.
© Dell Inc.
Dell Inc.
Admin-privileges
Via die weg kunnen de hackers code uitvoeren met de privileges van een admin, schrijft ZDNet. Dell heeft vorige week al een patch uitgebracht voor de kwetsbaarheid, die door het leven gaat als CVE-2019-3719, met een CVSS-score van 7,9. Toch zijn waarschijnlijk veel gebruikers nog steeds kwetsbaar voor een aanval van buitenaf, tenzij zij de Dell SupportAssist-tool al een update hebben gegeven.
Dell SupportAssist is ironisch genoeg de tool van Dell die gebruikers helpt om bugs op te lossen, diagnostische taken uit te voeren en auto-updates van de Dell-drivers uit te voeren. De tool staat standaard geïnstalleerd op alle computers en laptops die Dell verkoopt waarop Windows als OS geïnstalleerd staat, en dat zou er weleens voor kunnen zorgen dat het aantal gebruikers dat gevaar loopt hoog kan uitvallen. Gebruikers die een Dell-computer of laptop hebben aangeschaft zonder een vooraf geïnstalleerd en werkend OS, lopen volgens ZDNet geen gevaar.
Malafide webpagina
Volgens de 17-jarige Bill Demirkapi, een security-onderzoeker uit Amerika, is de SupportAssist-tool van Dell kwetsbaar voor ‘remote code execution’-kwetsbaarheid die hackers onder bepaalde omstandigheden de mogelijkheid geeft om de systemen te kapen.
Hiervoor moeten gebruikers naar een malafide webpagina worden gelokt, waar JavaScript-code de tool misleidt tot het downloaden van bestanden vanaf een locatie die door de hackers wordt gerund. Maar voor een gerichte aanval moeten de aanvallers zichzelf wel in de juiste positie manoeuvreren. "De aanvaller moet zich op het netwerk van het slachtoffer bevinden om een ARP-spoofingaanval en een DNS-spoofingaanval op de machine van het slachtoffer uit te kunnen voeren en zo uitvoering van externe code te realiseren," vertelt Demirkapi aan ZDNet.
Twee scenario's
Hiervoor zijn volgens de website twee scenario’s waarin de aanval zou kunnen werken: Ofwel op een openbaar WiFi-netwerk of groot bedrijfsnetwerk met hierin tenminste één besmette computer. Die kan worden gebruikt om de ARP- en DNS aanvallen op aangrenzende Dell-systemen met de tool aan te vallen.
Een andere mogelijkheid is dat de hackers een lokale WiFi-router van de gebruiker hebben aangetast en in staat zijn om DNS-verkeer rechtstreeks op de routers te wijzigen. Dit is volgens ZDNet geen hogere wiskunde meer, door de slechte staat van de beveiliging van routers in de afgelopen periode. Behalve de gang naar een malafide website, is er verder geen gebruikersinteractie meer nodig, wat de kans van slagen toe laat nemen.
Bill Demirkapi publiceerde zelf een video waarin de kwetsbaarheid wordt uitgelegd:
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee