Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Dell SupportAssist bevatte een ernstig lek door PC Doctor-component

Dell heeft een kritiek lek gedicht in zijn SupportAssist-software, die standaard op Dell-pc's voor consumenten en zakelijke gebruikers staat. Meer specifiek gaat het om een kwetsbaarheid in de PC-Doctor-software, die ook door andere fabrikanten gebruikt wordt.

Het lek zit in versie 2.0 van Dells SupportAssist for Business en versie 3.2.1 en eerdere versies van Dell SupportAssist for Home. Dell heeft nieuwe versies van de software vrijgegeven, die gebruikers met een automatische update kunnen binnenhalen. Het is de tweede keer in korte tijd dat Dell een kritiek lek in SupportAssist dicht. Dell meldt dat de kwetsbaarheid dit keer in de PC-Doctor-component hardwarediagnostistiek zit.

De kwetsbaarheid is gevonden door beveiligingsbedrijf SafeBreach. Dat meldt dat ook andere pc-fabrikanten de PC-Doctor Toolbox for Windows gebruiken voor software die ze standaard met systemen meeleveren voor diagnostistische doeleinden. Volgens PC-Doctor zijn 'meer dan honderd miljoen kopieën' van zijn software voorgeïnstalleerd op Windows-computers. Onder andere Corsair Diagnostics en de Tobii Dynavox Diagnostic Tool zijn op de software gebaseerd.

De kwetsbaarheid stelt aanvallers in staat software met kwaadaardige inhoud te laden en uit te voeren, en de Driver Signature Enforcement van Windows 10 te omzeilen. Die bescherming vereist dat drivers die in kernelmodus draaien, gesigneerd moeten worden. Omdat de driver van PC Doctor al gesigneerd is, kunnen aanvallers via de kwetsbare software bijvoorbeeld low-level geheugen benaderen. SafeBreach heeft een proof-of-concept ontwikkeld waarmee het onderzoeksteam het fysieke geheugen kon uitlezen.

Door Olaf van Miltenburg

Nieuwscoördinator

21-06-2019 • 13:57

18 Linkedin Google+

Reacties (18)

Wijzig sortering
Dit soort bevindingen in standaard meegeleverde software is dus precies waarom ik nieuwe devices met windows altijd herinstalleer met een "schone" windows installatie. Komt nog eens bij dat de helft van de programma's die je meegeleverd krijgt van fabrikanten bijna nooit echt nuttig zijn.
Maar dan je ook niet meer rekenen op de hulp van Dell..... Snap wat je bedoelt hoor maar in mijn ervaring is deze assistentie van Dell zeer nuttig. Staat op al onze hardware en als er een probleem is kijken ze even en sturen het onderdeel.
Maar dan moet je dus Dell vertrouwen van software te schrijven in te kopen die veilig genoeg is om permanent in kernel mode te draaien. Dat is dus nog een stap verder dan als Windows admin draaien. Dat is toch wel heel drastisch voor een tooltje dat gewoon "nuttig" is. En dan zeker als die via het internet te benaderen valt...

Ik snap dat dit kan nodig zijn voor bepaalde diagnostics, maar je moet er toch wel even bij stilstaan wat de gevaren zijn. De meeste (3rd party) kernel mode drivers zijn device drivers die vooral communiceren met een bepaald stuk hardware. Dat maakt het enorm lastig om via die drivers binnen te breken op een PC. Maar dit hangt dus gewoon aan het internet, en kan actief van buitenaf aangestuurd worden. Eén enkele bug en de poort staat open voor hackers om op je CPU met dezelfde privileges te draaien alsof ze de Windows kernel zelf zijn.

Zie de blog post waarin ze uitleggen hoe ze het gedaan hebben. Je kan die kernel mode driver een unsigned DLL laten inladen door gewoon het zoek pad aan te passen. Eender welke DLL met de juiste naam wordt vrolijk ingeladen zonder verdere checks. Als je dan gaat kijken naar de vorige exploit die gevonden was zie je een manier om relatief eenvoudig remote code execution te kunnen doen. Hun check om er voor te zorgen dat installer file downloads via HTTPS gebeurent valt te omzeilen met een spatie in de URL...

Het feit dat die 2 fouten te beschrijven zijn in blog posts die je op een dikke 5 minuten kan lezen, zou je schrik moeten aanjagen. Dit zijn geen attacks die op bit niveau zitten foefelen in memory. Dit zijn kanjers van security issues die enkel en alleen nu pas gevonden zijn geworden omdat er nu pas iemand naar kijkt... En dat draait op 100 miljoen computers...

[Reactie gewijzigd door Niosus op 21 juni 2019 17:11]

Niet meer rekenen op de hulp van Dell? Er draaien bij ons 11.000 Dell systemen, deze software is verboden en als ik onderdelen nodig heb, dan krijg ik die gewoon. Waarom helpt Dell jou niet?
Die snap ik ook niet helemaal.
Bij ons op het werk worden de laptops ook opnieuw geïnstalleerd, wanneer er iets is met de laptop nemen we telefonisch gewoon contact op en komt de monteur de volgende dag langs.

Wellicht gaat het bij consumenten producten anders?
ik voeg mij bij @dehardstyler

bij vrijwel alle zakelijke laptops wordt als eerste een image van de zaak op de laptop gezet.
de software support van dell wil je namelijk als bedrijf niet.
daar heb je immers een eigen ict afdeling voor.

een beetje bedrijf heeft zelf ook een cmdb of een verlijkbaar iets als lansweeper draaien.
hiermee weten ze precies welk model, serienummers ect er bij hun hardware zit.

dus onderdelen bestellen is ook geen issue lijkt mij.
dat is raar, dell command update is anders reuze handig om je systemen van de laatste drivers en bios updates te voorzien? of doen jullie dat niet of allemaal manueel? (dcu is perfect via powershell scripts benaderbaar.

de de dell support assist is idd een ander paar mouwen, dat neemt niets weg of maakt niet gemakkelijker voor je IT afdeling en wordt idd meestal uit de image gelaten. Lijkt me meer een product voor consumenten of 1-mans-zaken.

Wat betreft onderdelen bestellen heb je meestel de dell specifieke error code nodig van de epsa. Maar dat is dan weer geen softwarepakket( in zekere zin)(maar kan evengoed lekken bevatten, valt niet te verwijderen )

[Reactie gewijzigd door white modder op 21 juni 2019 15:30]

Ik doe dat via de WDS en MDT, je upload namelijk gegevens naar de cloud van Dell. Ik ben liever niet afhankelijk van dit soort tooltjes.
Wellicht gaat het bij consumenten producten anders?
Ik nam aan dat hij uit naam van z'n werk sprak, omdat hij zei: "Staat op al onze hardware"
Dat je van bijvoorbeeld Dell hun assistentiesoftware op je computer laat staan kan ik me wel voorstellen, maar al die andere third party software kun je natuurlijk wel gewoon meteen verwijderen. Dat staat los natuurlijk van de assistentie die je van Dell krijgt. Meestal zit er een hoop trial-software op een nieuw gekochte laptop/desktop waar je niet eens om gevraagd hebt (AV programma's, burnsoftware, deze PC-Doctor, etc etc)....
Bij een nieuwe laptop haal die shit er altijd meteen vanaf en bij een desktop heb ik die zorgen niet omdat ik die altijd zelf bouw en er dan dus een kale Windows op kwak...
Niet heel verstandig in mijn ogen, als ze zo makkelijk kunnen meekijken moet je je toch afvragen of je dit wel wilt. Zeker omdat al meerdere keren een lek in hun software is gevonden. Gebruik dan meer gerenomeerde software als teamviewer ofzo (als je dit al zou willen). Kan je ook snel weer verwijderen of uitzetten.

Ook zonder de tool krijg je gewoon support. Tot nog toe altijd gewoon het onderdeel dat defect was toegestuurd gekregen en de defecte terug gestuurd, binnen 24 uur klaar (en als ze het niet nodig vinden mag je het ook gewoon weggooien).
Ik heb toevallig net een Dell XPS-13 met Ubuntu (ipv Windows) gekocht. Iemand enig idee of die software ook op de Ubuntu versie staat?
Er bestaat wel een PC Doctor voor Linux, maar weet niet of die meegeïnstalleerd wordt.

Bron: http://www.pc-doctor.com/solutions/operating-system-support

[Reactie gewijzigd door luketheduke op 21 juni 2019 14:13]

Dit soort krachtige automatisch meegeleverde software zou standaard onder een bug bounty programma moetens staan zodat er een motivator is om actief te zoeken naar bugs in dit soort programma's.

Een brandtrap mag ook niet instorten en zo zouden hulp-op-afstand programma's ook kwaadwillende geen toegang mogen geven tot het systeem en al helemaal niet als je er als gebruiker standaard mee opgezadeld zit.
Op mijn 9570 draait de Windows Store versie van deze software. Deze zit op versie 3.2.2 sinds mei (edit: al weet ik natuurlijk niet of de versienummers 1 op 1 overeen komen)

Mocht je om een of andere duistere reden deze software nodig hebben dan is het nog niet eens zo'n gek idee om deze versie te installeren, de app wordt dan automatisch bijgewerkt als er een update is.

[Reactie gewijzigd door oef! op 21 juni 2019 14:19]

Wanneer word gewoon is de stekker uit dit programma gehaalt?
Mei 2018 - kritiek lek
Mei 2019 - kritiek lek
Juni 2019 - kritiek lek
En kan me heugen dat ergens 2016 deze software ook al is in het nieuws was,
Als fabrikanten eens tijd en energie staken in het up-to-date houden van de drivers die Windows Update aanbiedt dan hebben ze dit soort tools niet meer nodig. Wel jammer voor de stagairs want het leek altijd een mooie klus van stagairs, dat soort tooling.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True