预装软件缺陷使大多数Dell计算机暴露于远程黑客攻击之下

17岁的独立安全研究员比尔·德米尔卡皮（Bill Demirkapi）在大多数Dell计算机上预装的Dell SupportAssist实用程序中发现了一个严重的远程代码执行漏洞。

Dell SupportAssist，原名戴尔系统检测，检查计算机系统硬件和软件的运行状况。

该应用工具旨在与Dell支持网站交互，自动检测Dell产品的服务标签或快速服务代码，扫描现有设备驱动程序，安装缺失或可用的驱动程序更新，以及执行硬件诊断测试。

如果您想知道它是如何工作的，后台的Dell SupportAssist会在用户系统上本地运行一台web服务器（端口8884、8883、8886或端口8885），并接受各种命令作为URL参数，在计算机上执行一些预定义的任务，比如收集详细的系统信息，或者从远程服务器下载软件并安装到系统上。

尽管本地web服务已使用“Access Control Allow Origin”响应头进行了保护，并进行了一些验证，限制其仅接受来自“dell.com”网站或其子域的命令，但Demirkapi在周三发布的一篇博文中解释了绕过这些保护的方法。
如视频所示，Demirkapi演示了[PoC代码]远程黑客如何轻松地从受影响的Dell计算机上的远程服务器下载并安装恶意软件，以完全控制它们。

“未经验证的攻击者与易受攻击的系统共享网络访问层，通过诱骗受害用户通过SupportAssist客户端从攻击者托管的站点下载并执行任意可执行文件，可能会危害易受攻击的系统，”跨国计算机技术公司戴尔在一份咨询报告中说。

被识别为CVE-2019-3719的远程代码执行漏洞会影响版本3.2.0.90之前的Dell SupportAssist客户端版本。
在公开发布漏洞详细信息之前，研究人员负责地向戴尔安全团队报告了他的发现，该团队现已发布了受影响软件的更新版本，以解决该问题。
除此之外，Dell还修补了SupportAssist软件中的一个不正确来源验证（CVE-2019-3718）漏洞，该漏洞可能允许未经验证的远程攻击者尝试对用户系统进行CSRF攻击。

建议Dell用户安装更新的Dell SupportAssist 3.2.0.90或更高版本，或者在黑客试图利用这些弱点完全控制其计算机系统之前，完全卸载应用程序（如果不需要）。