Masz Della? Korzystałeś z pomocy technicznej? Sprawdź czy jesteś podatny

dodał 6 kwietnia 2015 o 22:20 w kategorii Wpadki  z tagami:
Masz Della? Korzystałeś z pomocy technicznej? Sprawdź czy jesteś podatny

Popularna aplikacja Della, ułatwiająca uzyskanie pomocy technicznej, pozwala także na wykonanie dowolnych poleceń na komputerze użytkownika. Nową, bezpieczną wersję, zainstalowało tylko 1% użytkowników.

Jeśli posiadacie Della i próbowaliście skorzystać z pomocy technicznej online, jest spora szansa, że zostaliście poproszeni o zainstalowanie aplikacji Dell System Detect. Program ten potrafi znaleźć kod serwisowy (service tag). zidentyfikować zainstalowane sterowniki oraz pośredniczy w uruchamianiu narzędzi diagnostycznych. Po zainstalowaniu program dodaje się do odpowiedniego klucza rejestru, by startować przy każdym uruchomieniu systemu. W wielu jego wersjach odkryto bardzo poważny błąd – a wersje te nie mają funkcji automatycznej aktualizacji.

Trywialny błąd o poważnych konsekwencjach

Kilka dni temu pewien badacz zainteresował się działaniem aplikacji Dell System Detect. Przeanalizował jej kod źródłowy (uzyskany z łatwością przez dekompilację aplikacji .NET 2.0) i odkrył bardzo niebezpieczne zachowanie. Aplikacja z definicji umożliwia zdalne uruchamianie programów poprzez odpowiednie wywołanie do jej wewnętrznego serwera WWW. Mechanizmy ograniczające możliwość nadużyć miały gwarantować, że polecenia wydawać mogą tylko serwery znajdujące się w domenie Della, jednak ich implementacja okazała się całkowicie nieudana. Testy przeprowadzone przez firmę F-Secure pokazują, że program weryfikował jedynie, czy w adresie wywołującym znajduje się ciąg „dell”, dzięki czemu do ataku można było użyć ścieżki zlyserwer.pl/dell. Niektóre wersje wymagają ciągu „dell.com” który również można umieścić w dowolnym miejscu ścieżki. Pierwsza próba naprawienia problemu przez Della zaowocowała wprowadzeniem filtra weryfikującego, czy nazwa domenowa zawiera ciąg „.dell.”, dzięki czemu atak mogła przeprowadzić domena test.dell.zlyserwer.pl.

Ogromna grupa podatnych systemów

Najnowsza wersja programu, 6.0.0.14, w końcu przyjmuje polecenia jedynie od serwera którego domena spełnia warunek „*.dell.com”. Niestety wszystkie poprzednie wersje mogą zostać łatwo oszukane – wystarczy odwiedzić witrynę, która będzie zawierała odpowiednio skonstruowany skrypt JS, a komputer automatycznie pobierze i wykona program udostępniony przez atakującego (polecamy pełną analizę błędu i metody jego wykorzystania).

F-Secure przeprowadził szybką analizę jak przebiega aktualizacja podatnego oprogramowania. Różne jego wersje zostały znalezione na około 100 tysiącach komputerów użytkowników antywirusa tej firmy. Niestety zaledwie 1% wszystkich przypadków to najnowsza, bezpieczna wersja aplikacji – pozostałe wszystkie są podatne na atak.

Podatne wersje na komputerach użytkowników (źródło: F-Secure)

Podatne wersje na komputerach użytkowników (źródło: F-Secure)

O ile można zrozumieć, że Dell chciał wbudować do swojej aplikacji funkcję instalowania innych programów, to trudno pojąć, czemu tak krytyczna funkcja została zabezpieczona w tak łatwy do ominięcia sposób. Użytkownikom Della zalecamy weryfikację, czy na ich komputerach nie znajduje się Dell System Detect i w razie potrzeby pilne odinstalowanie aplikacji. Jeśli jednak musicie z niej korzystać, to pamiętajcie, by pobrać najnowszą wersję.