预装Dell支持软件中的安全漏洞影响数百万台计算机

支持助手预装在数百万台Dell笔记本电脑和PC上的实用程序包含一个安全漏洞，该漏洞可能允许恶意软件或恶意登录用户将其权限提升到管理员级别，并访问敏感信息。

安全漏洞由SafeBreak实验室的安全研究人员发现，该漏洞被识别为CVE-2019-12280，是一个权限升级问题，会影响Dell针对商用PC（版本2.0）和家用PC（版本3.2.1及所有之前版本）的SupportAssist应用程序。

Dell SupportAssist（以前称为Dell System Detect）检查系统硬件和软件的运行状况，提醒客户采取适当措施解决问题。为此，它以系统级权限在您的计算机上运行。
使用此高级权限，该应用工具与Dell支持网站交互，自动检测Dell产品的服务标签或快速服务代码，扫描现有设备驱动程序，安装缺失或可用的驱动程序更新，并执行硬件诊断测试。

然而，SafeBreak实验室的研究人员发现，该软件加载不安全。dll文件在运行时来自用户控制的文件夹，为恶意软件和恶意登录用户留下一个破坏现有dll或用恶意dll替换它们的位置。
因此，当SupportAssist加载这些受污染的DLL时，恶意代码会被注入程序并在管理员的上下文中执行，从而很容易让攻击者获得对目标系统的完全控制。

研究人员说：“根据戴尔的网站，大多数运行Windows的戴尔设备上都预装了SupportAssist。这意味着，只要软件没有打补丁，该漏洞就会影响数百万戴尔PC用户”。

什么让人担心？研究人员认为，戴尔并不是唯一一家个人电脑受到这种特殊安全问题影响的公司。

因为Dell SupportAssist由内华达州的诊断和客户支持公司编写和维护电脑医生，其他将相同的诊断和故障排除工具捆绑到不同名称的电脑中的个人电脑制造商也可能容易受到攻击。

研究人员说：“在SafeBreak实验室将详细信息发送给戴尔后，我们发现该漏洞影响了其他OEM，这些OEM使用了Windows软件组件PC Doctor工具箱的更名版本”。

此外，根据PC Doctor网站，PC制造商“在全球计算机系统上预装了超过1亿份PC Doctor for Windows”，这意味着该漏洞还影响到其他依赖PC Doctor进行专门故障排除工具的原始设备制造商。
由于Dell的SupportAssist软件使用PC Doctor签名的驱动程序来访问低级内存和硬件，研究人员证明了这种漏洞，可以读取任意物理内存地址的内容作为概念证明。

SafeBreak实验室于2019年4月29日向戴尔报告了该漏洞，该公司随后向PC Doctor报告了该问题，并于5月28日发布了PC Doctor为受影响的SupportAssist版本提供的修复程序。

建议Dell Business和home PC用户分别将其软件更新至Dell SupportAssist for Business PC 2.0.1版和Dell SupportAssist for home PC 3.2.2版。

这不是第一次发现Dell SupportAssist受到严重安全漏洞的影响。

今年4月，戴尔还解决了该应用程序中的一个关键远程代码执行漏洞，该漏洞使远程攻击者能够从受影响的戴尔计算机上的远程服务器下载和安装恶意软件，并对其进行完全控制。