ACTUALIZADO con comentarios de Dell e información adicional de SafeBreach.
Millones de computadoras Dell que ejecutan Windows, y posiblemente muchas más computadoras fabricadas por otras marcas, son vulnerables a una falla en el software interno de salud del sistema que podría permitir a los piratas informáticos hacerse cargo de las máquinas, según un nuevo informe de SafeBreach, con sede en Sunnyvale, California. .
En las máquinas Dell, el software se llama SupportAssist. Está hecho por PC-Doctor, un fabricante de software de diagnóstico de hardware que otorga licencias de su software a otros fabricantes de dispositivos electrónicos.
Los investigadores de SafeBreach dijeron que PC-Doctor se negó a darles una lista de sus otros clientes, pero el sitio web de PC-Doctor afirma que "los principales fabricantes han instalado más de 100 millones de copias de PC-Doctor para Windows en sistemas informáticos de todo el mundo".
Dell y PC-Doctor han lanzado una actualización de firmware que soluciona este problema, que puede instalar siguiendo las instrucciones en la página de soporte de Dell para la falla de SupportAssist. Sin embargo, es posible que deba esperar para obtener más información sobre los dispositivos fabricados por otros licenciatarios del software PC-Doctor.
La función SupportAssist es vulnerable porque no maneja de forma segura los repositorios de código compartido conocidos como DLL. Para evitar la duplicación, los sistemas operativos modernos almacenan fragmentos de código utilizados por muchos programas en repositorios comunes llamados bibliotecas de enlaces directos, abreviados como DLL en Windows o dylibs en macOS.
Los programas cargan archivos DLL cuando se inician, pero los atacantes pueden establecer trampas corrompiendo las DLL existentes o sustituyéndolas por archivos DLL maliciosos, que luego inyectan código malicioso en los programas que usan esas DLL. La mayoría de los programas tienen formas de prevenir tal "inyección de DLL", pero Dell SupportAssist claramente no lo hace, porque así es como los investigadores de SafeBreach pudieron atacarlo.
Dado que SupportAssist se ejecuta como SYSTEM, tiene vínculos muy profundos con el sistema operativo, y secuestrar sus funciones permitiría a un atacante hacer prácticamente cualquier cosa en la máquina, especialmente porque es un servicio "firmado" reconocido como seguro por Microsoft.
Desafortunadamente, el software crea una puerta abierta para los atacantes porque busca algunas DLL que no estaban en las máquinas Dell que utilizó el equipo de SafeBreach: AlienFX.dll, atiadlxx.dll, atiadlxy.dll y LenovoInfo.dll.
El último es interesante porque una máquina Dell no debería contener un archivo llamado "LenovoInfo.dll". Eso puede ser una pista para la identidad de uno de los otros clientes de PC-Doctor. "AlienFX.dll" tiene más sentido porque Dell es el propietario del fabricante de PC para juegos Alienware.
De todos modos, debido a que ninguno de esos archivos DLL existía realmente en las máquinas de prueba, los investigadores de SafeBreach simplemente crearon sus propios archivos y les dieron los nombres de los archivos que faltaban. He aquí que Dell SupportAssist cargó esos archivos y ejecutó su código, sin verificar quién creó los archivos o dónde estaban ubicados en el sistema.
SafeBreach dijo que Dell SupportAssist, y presumiblemente PC-Doctor, podrían mitigar este problema permitiendo solo archivos DLL que fueron "firmados" por fabricantes de software autorizados y limitando las búsquedas de archivos DLL a solo aquellas carpetas donde se supone que están los archivos DLL específicos.
SafeBreach informó esta vulnerabilidad a Dell el 29 de abril y Dell, a su vez, la remitió a PC-Doctor, que obtuvo la vulnerabilidad en la base de datos de vulnerabilidades común como CVE-2019-12280.
ACTUALIZAR: Dell se acercó a Tom's Guide para afirmar que "Dell SupportAssist no está fabricado por PC-Doctor. La vulnerabilidad descubierta por SafeBreach es una vulnerabilidad de PC-Doctor, que es un componente de terceros que se envía con Dell SupportAssist para PC".
"Más del 90% de los clientes hasta la fecha han recibido la actualización, lanzada el 28 de mayo de 2022-2023, y ya no están en riesgo. Dell SupportAssist se actualiza automáticamente si las actualizaciones automáticas están habilitadas y la mayoría de los clientes tienen activadas las actualizaciones automáticas".
SafeBreach publicó una versión actualizada de sus hallazgos con la información de que varias otras piezas de software eran vulnerables: el PC-Doctor Toolbox para Windows antes mencionado y otras versiones que SafeBreach dijo que habían sido "renombradas" como Corsair One Diagnostics, Corsair Diagnostics, Staples Easy Tech Diagnostics, herramienta de diagnóstico Tobii I-Series y herramienta de diagnóstico Tobii Dynavox.
Crédito de la imagen: ReviewsExpert.netazine
Guía de portátiles Dell
- Consejo anterior
- Siguiente consejo
- Las mejores computadoras portátiles y Chromebooks de Dell
- Vea cómo Dell se compara con otras marcas de portátiles
- Calificación y boleta de calificaciones del soporte técnico de Dell
- ¿Qué incluye la garantía de Dell?