ACTUALIZADO con comentarios de Dell e información adicional de SafeBreach.

Millones de computadoras Dell que ejecutan Windows, y posiblemente muchas más computadoras de otras marcas, son vulnerables a una falla en su Software interno de salud del sistema que podría permitir a los piratas informáticos hacerse cargo de las máquinas, según un nuevo informe de Sunnyvale, California. SafeBreach.

Crédito: Revista Laptop
(Crédito de la imagen: Laptop Magazine)

En las máquinas Dell, el software se llama SupportAssist. Está hecho por PC-Doctor, un fabricante de software de diagnóstico de hardware que otorga licencias de su software a otros fabricantes de dispositivos electrónicos.

Los investigadores de SafeBreach dijeron que PC-Doctor se negó a darles una lista de sus otros clientes, pero el sitio web de PC-Doctor afirma que "los principales fabricantes han instalado más de 100 millones de copias de PC-Doctor para Windows en sistemas informáticos de todo el mundo".

Dell y PC-Doctor han lanzado una actualización de firmware que soluciona este problema, que puede instalar siguiendo las instrucciones en

Página de soporte de Dell para la falla de SupportAssist. Sin embargo, es posible que deba esperar más información sobre los dispositivos fabricados por otros licenciatarios del software PC-Doctor.

MÁS: El mejor antivirus de Windows

La función SupportAssist es vulnerable porque no maneja de forma segura repositorios de código compartido conocidos como DLL. Para evitar la duplicación, moderno Los sistemas operativos almacenan fragmentos de código utilizados por muchos programas en repositorios comunes llamados bibliotecas de enlaces directos, abreviados como DLL en Windows o dylibs. en macOS.

Los programas cargan archivos DLL cuando se inician, pero los atacantes pueden establecer trampas corrompiendo los archivos DLL existentes o sustituyéndolos archivos DLL maliciosos, que luego inyectan código malicioso en los programas que usan esos archivos DLL. La mayoría de los programas tienen formas de prevenir tal "Inyección de DLL, "pero Dell SupportAssist claramente no lo hace, porque así es como los investigadores de SafeBreach pudieron atacarlo.

Dado que SupportAssist se ejecuta como SYSTEM, tiene vínculos muy profundos con el sistema operativo y secuestrar sus funciones permitiría un atacante hace prácticamente cualquier cosa en la máquina, especialmente porque es un servicio "firmado" reconocido como seguro por Microsoft.

Desafortunadamente, el software crea una puerta abierta para los atacantes porque busca algunas DLL que no estaban en las máquinas Dell que utilizó el equipo de SafeBreach: AlienFX.dll, atiadlxx.dll, atiadlxy.dll y LenovoInfo.dll.

El último es interesante porque una máquina Dell no debería contener un archivo llamado "LenovoInfo.dll". Eso puede ser una pista de la identidad de uno de los otros clientes de PC-Doctor. "AlienFX.dll" tiene más sentido porque Dell es propietario de Alienware, fabricante de PC para juegos.

De todos modos, debido a que ninguno de esos archivos DLL existía realmente en las máquinas de prueba, los investigadores de SafeBreach simplemente crearon sus propios archivos y les dieron los nombres de los archivos faltantes. He aquí que Dell SupportAssist cargó esos archivos y ejecutó su código, sin verificar quién creó los archivos o dónde estaban ubicados en el sistema.

SafeBreach dijo que Dell SupportAssist, y presumiblemente PC-Doctor, podrían mitigar este problema al permitir solo archivos DLL que "firmado" por fabricantes de software autorizados y limitando las búsquedas de archivos DLL a solo aquellas carpetas donde se supone que existen archivos DLL específicos ser - estar.

SafeBreach informó esta vulnerabilidad a Dell el 29 de abril y Dell, a su vez, la remitió a PC-Doctor, que obtuvo la vulnerabilidad en la base de datos de vulnerabilidades común como CVE-2019-12280.

ACTUALIZAR: Dell se acercó a Tom's Guide para afirmar que "Dell SupportAssist no está fabricado por PC-Doctor. La vulnerabilidad descubierta por SafeBreach es una vulnerabilidad de PC-Doctor, que es un componente de terceros que se envía con Dell SupportAssist para PC ".

"Más del 90% de los clientes hasta la fecha han recibido la actualización, lanzada el 28 de mayo de 2019 y ya no están en riesgo. Dell SupportAssist se actualiza automáticamente si las actualizaciones automáticas están habilitadas y la mayoría de los clientes tienen activadas las actualizaciones automáticas ".

SafeBreach publicado una versión actualizada de sus hallazgos con la información de que varias otras piezas de software eran vulnerables: la antes mencionada PC-Doctor Toolbox para Windows y otras versiones que SafeBreach dijo ha sido "renombrado" como Corsair One Diagnostics, Corsair Diagnostics, Staples Easy Tech Diagnostics, Tobii I-Series Diagnostic Tool y Tobii Dynavox Diagnostic Tool.

  • Proteja su computadora con este simple truco (de verdad)

Obtenga acceso instantáneo a noticias de última hora, las mejores críticas, grandes ofertas y consejos útiles.

Gracias por registrarse en Tom's Guide. Recibirá un correo electrónico de verificación en breve.

Había un problema. Actualice la página y vuelva a intentarlo.

Sin spam, lo prometemos. Puede darse de baja en cualquier momento y nunca compartiremos sus datos sin su permiso.