Dell电脑内建支援软件含有远端攻击漏洞
文/陈晓莉 | 2019-05-02发表
Dell在4月下旬修补了两个与SupportAssist软件有关的远端攻击漏洞,它们分别可用来执
行跨站伪造请求(Cross-site Request Forgery,CSRF)攻击或远端程式攻击,值得注意
的是,SupportAssist被预装在基于Windows作业系统的绝大多数Dell装置上,包括电脑与
平板电脑。
在Dell装置上内建的SupportAssist定位为主动及预测支援软件,它既能协助使用者下载
必要的驱动程式,也能主动检查系统上的软件及硬件状态,侦测到问题时即会将状态资讯
传回Dell以进行故障排除,Dell也会联系用户予以协助。
此次Dell修补了SupportAssist中的CVE-2019-3718及CVE-2019-3719漏洞,前者是因不适
当的原始认证所造成,未经身分认证的远端骇客可能会利用该漏洞,展开跨站伪造请求攻
击。
CVE-2019-3719则是属于远端程式攻击漏洞,允许未经身分认证且共享网络存取层的骇客
,诱导使用者连至恶意网站以下载及执行任何程式。
发现CVE-2019-3719的资安研究人员Bill Demirkapi表示,他是在购买了15吋的Dell G3笔
电之后,因把传统硬盘换成SDD,重新安装了Windows,在要下载驱动程式时,才发现Dell
要求他安装SupportAssist。他觉得可自动帮人安装驱动程式的软件固然方便,但也有安
全风险,决定一探究竟,才发现此一远端程式攻击漏洞。
Demirkapi是在去年10月提报此一漏洞,只是Dell直至今年4月才修补。Demirkapi也发表
了概念性验证攻击程式,展示如何让含有漏洞的电脑执行他所指定的程式。
这两个漏洞都被列为高度(High)风险漏洞,Dell则呼吁用户应尽速将SupportAssist升
级至SupportAssist 3.2.0.90或之后的版本。
https://www.ithome.com.tw/news/130381
大湿:光Dell这个品牌就值1万