Zeker 100.000 Dell-systemen kwetsbaar door lek in System Detect-tool

Zeker honderdduizend Dell-systemen zijn kwetsbaar voor een recent ontdekt lek in de System Detect-supporttool die Dell via zijn support-pagina aanbiedt. Het lek is gedicht, maar weinig gebruikers werken de tool handmatig bij, ontdekte F-Secure.

F-Secure inventariseerde hoeveel klanten System Detect draaide en welk aantal de laatste versie, 6.0.0.14 draait. Slechts 1 procent blijkt de tool te hebben bijgewerkt naar de meest recente versie, de rest heeft nog oudere, ongepatchte versies draaien en zijn dus kwetsbaar. Aangezien de inventarisatie alleen onder F-Secure-klanten is gedaan, ligt het werkelijk aantal waarschijnlijk veel hoger dan 100.000.

Beveiligingsonderzoeker Tom Forbes ontdekte het lek in System Detect in november vorig jaar en Dell bracht in januari een fix uit, waarop Forbes de kwetsbaarheid uit de doeken deed. De tool stelt gebruikers van Dell-systemen in staat de laatste drivers voor hun configuratie te downloaden. System Detect draait op de achtergrond en start automatisch bij het opstarten van Windows.

De .NET 2.0-tool draait een http-server die naar javascript-requests van de supportpagina van Dell luistert. De software verifieert echter alleen of een request van Dell afkomstig is, door te kijken naar de aanwezigheid van het woord 'dell' in de http-referrer of http-origin-header, zo ontdekte Forbes. Dit is eenvoudig te omzeilen en kwaadwillenden kunnen System Detect eenvoudig eigen malware laten downloaden en installeren door webbrowsers requests te laten maken via gemanipuleerde url's.

IT-banen

Reacties (41)

Verwijderd 3 april 2015 13:17

Daarom toch liever zelf drivers updaten zonder tooltje en andere bloatware...

Kleiner attack surface = beter...

Eagle Creek

@Verwijderd • 3 april 2015 13:36

Niet om "ik weet het beter" te roepen maar het is een van de redenen dat ik de Dell-tool nooit installeer. Of na installatie weer verwijder.

Ik ben er al jaren van overtuigd dat het met regelmaat update van drivers en firmware op een prima werkend systeem overbodig is. Af en toe een update voor een specifieke functionaliteit, prestatieverbetering of andere welkome aanvulling is prima. Maar drivers (en firmware) kunnen ook schade berokkenen aan een goed functionerend systeem. Prestatieverbeteringen zijn vaak niet van dien aard dat meegaan met elke update noodzakelijk is. En securitylekken in drivers zijn er weinig. Voor mij een reden om de tool na gebruik weer te verwijderen.

Dell System Detect is "yet another application" die meestart (dus bronnen gebruikt), taken overneemt van de gebruiker (onzichtbaar) en - zoals genoemd - het zgn. "attack surface" vergroot.

Per definitie is het beter om te verwijderen wat je niet gebruikt m.i. Minder te patchen, minder aan te vallen, minder risico

[Reactie gewijzigd door Eagle Creek op 23 juli 2024 22:00]

Rolfie

@Eagle Creek • 3 april 2015 13:57

Dit is altijd een leuke.....

Ik heb ook al een aantal malen gehad, dat juist nieuwere drivers issues oploste waar mensen echt last van hadden. Maar niemand had er ooit aangedacht om de firmware te updaten

En juist als je ook weer problemen hebt, wil je zo minmogelijk aanpassen op je systeem. Als je daarna eerst driverse oude drivers en firmware moet updaten. Voordat je werkelijk kan gaan troubleshooten.

Tja.... Het is altijd een lastige......

player-x @Rolfie • 3 april 2015 15:30

Als het zo een groot probleem is, waarom heeft Dell MS niet gevraagd om het te pushen met Windows update.

De tool stelt gebruikers van Dell-systemen in staat de laatste drivers voor hun configuratie te downloaden. System Detect draait op de achtergrond en start automatisch bij het opstarten van Windows.

Zou zelf de Dell tool niet gebruiken, maar er is een goed alternatief, Secunia PSI, checks je geïnstalleerde software en drivers tegen een black-list met onveilige programma's en drivers.

Wel gebruik ik de oude versie, die wat meer mogelijkheden heeft dan de nieuwe simpelere versie.

Voor de rest is drivers en firmware updaten zelden echt noodzakelijk, de enige drivers die ik regelmatig update zijn de video drivers, de rest komt wel met Win update, heb ongeveer 25 PCs van me zelf en familie die ik bij houw.

Ik kan me niet meer herinneren dat ik driver, firmware of BIOS updates moest doen om problemen op te lossen, daar tegenwoordig 99% van de drivers in Windows prima hun werk doen.

SSH @player-x • 4 april 2015 11:41

Omdat niet MS of de hardware boeren de meest stabiele drivers leveren, maar Dell wel. Logisch; Dell levert relatief weinig zakelijke modellen die bij miljoenen bedrijven staan en daar komt logischerwijze uit wat de meest stabiele drivers zijn.
Ik heb zelf bij klanten ook genoeg problemen gezien wanneer de modellen vanuit de uitrol niet de juiste drivers meekregen en ze deze via de Windows update binnenhaalde.

kimborntobewild @player-x • 5 april 2015 23:32

Als het zo een groot probleem is, waarom heeft Dell MS niet gevraagd om het te pushen met Windows update.

Hoe weet jij of Dell dat niet aan MS heeft gevraagd?
En als ik MS was, zou ik dan (ook) niet zomaar toestemmen: elke update moet op talloze manieren en systemen getest worden voordat MS hem moet releasen. Dat kan tonnen kosten. Maar belangrijker: als er toch iets mis gaat, is dat ook slecht voor de naam van MS, en niet alleen voor Dell. Dus een hele goede reden om Dell het zelf op te laten lossen.

Woutske @Eagle Creek • 4 april 2015 08:20

Ik weet niet of je een gamer bent, maar videokaartdrivers maken echt enorme verschillen hoor. Nvidea heeft al een keer (weet niet meer precies waar, volgens mij Reddit) een uitleg gegeven waarom dit zo is. Kennelijk zijn veel developers vrij dirty met het gebruik van de videokaart, en bevat een driver een soort 'hotfixes' die als wrapper dienen om de dirty functies goed af te handelen. Dus om nou te zeggen dat het 'overbodig is' vind ik ook weer wat raar.

Geekomatic

@Verwijderd • 3 april 2015 13:56

... daarom bij aankoop nieuw systeem schijf formatteren met vers (Windows) OS.
Dit soort bloatware kan nooit zo grondig getest zijn als een standaard OS en is daarom inherent onveilig.

kimborntobewild @Geekomatic • 5 april 2015 23:34

Deze software staat niet standaard op Dell-PC's. Als je naar Dell.com gaat en drivers probeert te downloaden, dan wordt de download wel aangeboden.

himlims_ @Verwijderd • 3 april 2015 13:19

apt-get update && apt-get upgrade

Verwijderd @himlims_ • 3 april 2015 13:31

pacman -Syyu

EpicEraser @Verwijderd • 3 april 2015 13:45

yaourt -Syua

Jozz @Verwijderd • 3 april 2015 14:53

typo?
pacman -Syu is het toch? Zo doe ik dat zelf altijd.

rubenvb @Jozz • 3 april 2015 18:30

Vroeger moest je de dubbele y gebruiken om een database update te forceb, de laatste tijd niet meer en is die extra y dan ook van de wiki gehaald.

Jozz @rubenvb • 7 april 2015 11:37

ah, ok. Dat wist ik niet.
Weer wat geleerd.

relativity @himlims_ • 3 april 2015 13:52

of gewoon je bash.rc aanpassen

if [ $UID -ne 0 ]; then
alias restart='sudo reboot -h now'
alias upgrade='sudo apt-get update && sudo apt-get upgrade -y'
alias clean='sudo apt-get autoclean && sudo apt-get autoremove'
fi

daarna touch ~/.bashrc and you're good to go!

SED @himlims_ • 3 april 2015 15:23

ach ook bij Apt gaat wel eens wat mis. Blijft mensenwerk
voorbeeldje:
http://linux.softpedia.co...tu-14-04-LTS-447371.shtml

Aggror 3 april 2015 13:18

door te kijken naar de aanwezigheid van het woord 'dell' in de http-referrer of http-origin-header

Jemig wat knullig. Zo lastig is een simpele hash toch niet in the bouwen?

borft @Aggror • 3 april 2015 13:22

Dat gaat ook niet helpen. De http-referrer header kan je elke willekeurige waarde geven die je wilt. Beter gaan ze certificate pinning gebruiken!

ieperlingetje @Aggror • 3 april 2015 13:28

Ze hebben er een hash controle check ingestoken hoor, alleen is die hardcoded:

var secret = string.Format("{0}_{1}_{2}_{3}", service, method, expiration, "37d42206-2f68-48be-a09a-9f9b6424ad85");
var hash = new SHA256Managed().ComputeHash(Encoding.UTF8.GetBytes(secret));

Dat lek is trouwens bizar eenvoudig te misbruiken, er zit namelijk een functie DownloadAndAutoInstall in , raad eens wat die doet?

SeBsZ 3 april 2015 13:33

Ik denk dat er een fout is, ik heb de laatste versie van Dell Detect en dat is 6.0.0.14, niet 6.0.14. Dat is echt een groot verschil, want dat zou betekenen dat er een nieuwere versie is maar die is er volgens mij niet. Er zit dus een fout in het artikel en de bron: F-Secure.

Ravefiend @SeBsZ • 3 april 2015 13:45

Yup, lijkt me ook dat F-Secure een fout gemaakt heeft wat betreft de versie. Zelf heb ik hier op dit moment ook versie 6.0.0.14 actief en niet 6.0.14 dewelke niet bestaat lijkt me zo. Op de volgende website kwam ik nog een mooi lijstje tegen van de vorige versies, met de 6.0.0.14 als meest recente:

http://de.binarydb.com/soft/Dell-System-Detect-v364854.html

3.3.2.0
3.3.2.1
4.0.5.6
4.1.2.11
5.3.2.10
5.3.1.5
5.2.0.11
5.4.0.4
5.5.0.19
5.1.0.41
5.6.0.4
5.7.0.6
5.8.0.16
5.8.1.1
5.9.0.5
5.10.0.8
5.11.0.3
5.11.0.2
5.12.0.3
5.13.0.1
5.14.0.9
6.0.0.14

mikenuun 3 april 2015 14:58

Dit is inderdaad de reden waarom ik altijd nieuwe laptops formateer.
(Zie lenovo verhaal, en dit verhaal)

Altijd een schone windows,
En de drivers los downloaden, liefst van fabrikant van apparatuur,
En zonder tools , zodat alles schoon blijft.

(Ik bedoel komop 200-300 MB voor WiFi / vga drivers)
Werken er ook mensen bij Fabrikanten die dit testen (Techhies) lijkt me niet fijn.

kimborntobewild @mikenuun • 5 april 2015 23:38

Dit is inderdaad de reden waarom ik altijd nieuwe laptops formateer.

Deze software staat niet standaard op Dell-PC's. Als je naar Dell.com gaat en drivers probeert te downloaden, dan wordt de download wel aangeboden.

BlackMage 3 april 2015 13:20

Als het zo makkelijk is om malware te installeren op geinfecteerde pc's, dan is het toch ook eenvoudig om via die zelfde manier een tool te laten draaien die getroffen versies van SystemDetect uninstalled?

Flight77 @BlackMage • 3 april 2015 13:22

Ik denk inderdaad altijd als ik dit soort berichten lees, dat het handig zou zijn om in dit soort situaties het lek dan te misbruiken om gebruikers erop te attenderen dat ze een update moeten draaien van de tool die de lek veroorzaakt oid. (of de update zelf draaien, of de software verwijderen)

Niet een hele nette oplossing maar misschien wel heel praktisch...

stresstak @Flight77 • 3 april 2015 13:42

Ik denk inderdaad altijd als ik dit soort berichten lees, dat het handig zou zijn om in dit soort situaties het lek dan te misbruiken om gebruikers erop te attenderen dat ze een update moeten draaien

Krijg je dan niet het effect van ''Er is iets mis met uw pc. Klik hier om het te verhelpen.'' ?
Met alle mogelijke ongewenste gevolgen vandien.

oef! 3 april 2015 13:49

Die meuk zorgde ook al voor stotterende streaming audio op mijn systeem. Direct gedeinstalleerd en het probleem was opgelost.

http://en.community.dell..../t/19618098?pi239031352=4

roughtodacore 3 april 2015 14:11

Wat je dus kan doen, is een URL serveren waarbij het niet uitmaakt WAAR in de URL het woordje "dell" voorkomt. Malware serveren vanaf een eigen domein is dus mogelijk, e.g: evildomein.nl/dell/malware.exe of evildomein.nl/mijndellmalware.exe. De functie die de URL valideert zal dus in dit geval aangeven dat het een valide URL is.

[Reactie gewijzigd door roughtodacore op 23 juli 2024 22:00]

Saven

Dell

@roughtodacore • 3 april 2015 17:03

Dat hoeft nog niet eens, je kan http headers (refferer) namelijk spoofen

kimborntobewild 5 april 2015 23:24

Slechts 1 procent blijkt de tool te hebben bijgewerkt naar de meest recente versie

Alsof 't zeker is dat die personen eerst een oudere versie gehad hebben. Hoogstwaarschijnlijk heeft 't grootste gedeelte van die 1% de software er slechts 1 keer op geïnstalleerd.

Aangezien de inventarisatie alleen onder F-Secure-klanten is gedaan, ligt het werkelijk aantal waarschijnlijk veel hoger dan 100.000.

F-secure is nogal een kleine speler in de markt. Dus waarschijnlijk gaat 't om tientallen miljoenen PC's. Kan je een mooi botnetje van maken om de beste zet uit te rekenen in een potje schaak.

[Reactie gewijzigd door kimborntobewild op 23 juli 2024 22:00]

NotLikeTheOther 3 april 2015 13:41

Als je een systeem koopt moet je het ook onderhouden

Nooit vanuit gaan dat de computer alles voor je doet, lol.

EoG @NotLikeTheOther • 3 april 2015 13:48

Voor een gemiddelde consument is een driver opzoeken geen "piece of pie" en daar was deze tool dan ook voor bedoeld, voor de consument die niet begrijpt wat hij moet downloaden of waarvoor.

Op zich is de tool an sich ook niet verkeerd, alleen de uitvoering van de authenticatie is zacht gezegd onhandig geweest.

kimborntobewild @EoG • 5 april 2015 23:43

Niet alleen dat; ook dat ie elke keer automatisch start bij het starten van Windows, is een blunder.

Verwijderd 3 april 2015 13:21

komop dell is nog wel zon groot bedrijf. Dit hadden ze tog AL LANG moeten voorkomen, Als zon grote producent dit doet gaat het net als lenovo dalijk helemaal fout. Kan er op allebij mallware gedownload worden en of software gespoofed.

RGAT @Verwijderd • 3 april 2015 13:27

Zit wel een flink verschil tussen wat Dell hier doet en wat Lenovo doet

Dell had hier gewoon een goede implementatie met certificaten moeten maken om de identiteit van de Dell servers vast te stellen, waarom een groot bedrijf als Dell dat niet doet, jammer...
Lenovo installeerde malware op hun laptops (en desktops?) en kreeg daar geld voor van de malware maker, dat Lenovo niet wist dat het malware was is onzin, je kijkt wat voor bloatware je erop gooit, doe je dat niet dan laat je blijkbaar jan en alleman zooi op je laptops gooien en is het nog erger...

Op dit item kan niet meer gereageerd worden.

Zeker 100.000 Dell-systemen kwetsbaar door lek in System Detect-tool

Lees meer

IT-banen

Reacties (41)

Sorteer op:

Weergave: