Software | Bezpečnost | Dell

Výchozí servisní aplikace na počítačích Dell má bezpečnostní díru. Aktualizujte ji, jinak hrozí její zneužití

Nástroj SupportAssist, který Dell instaluje na většinu svých počítačů a notebooků, obsahoval poměrně vážnou bezpečnostní díru, umožňující vzdálené spuštění kódu. Výrobce už vydal opravu, takže pokud vlastníte stroj této značky, zkontrolujte si, zda máte nainstalovanou poslední verzi aplikace.

Zranitelnost odhalil teprve sedmnáctiletý Bill Demirkapi, který na svém blogu zveřejnil podrobné informace, včetně ukázky. Problém se týká aplikace SupportAssist, jejímž úkolem je proaktivní kontrola stavu hardwaru a softwaru počítače.

Bezpečnostní díra s řadou omezení

Začněme dobrou zprávou: nedá se říci, že by objevená bezpečnostní díra otevírala systém počítačů Dell do celého světa. Její zneužití vyžadovalo, aby útočník byl ve stejné lokální síti jako oběť a aby uživatel otevřel webovou stránku kontrolovanou útočníkem.

Útok tak mohl fungovat ve veřejné Wi-Fi síti nebo v rámci velké podnikové sítě, ve které existoval alespoň jeden ohrožený počítač, jež bylo možné použít ke spuštění ARP a DNS útoků proti dalším počítačům Dell používajícím nástroj SupportAssist.

Zranitelnost v nástroji za těchto okolností vystavila notebooky a osobní počítače Dell s operačním systémem Windows možnosti vzdáleného útoku, který dovoloval hackerům spouštět kód s nejvyššími právy a převzít tak kontrolu nad systémem.

Díra už je zalepená – aktualizujte!

Útok začíná nalákáním uživatele na škodlivou webovou stránku, kde je přes JavaScript nástroj SupportAssist přesvědčen ke stahování a spuštění souborů z místa ovládaného útočníkem. Vzhledem k tomu, že nástroj běží s oprávněním administrátora, mohli útočníci v případě úspěchu získat úplný přístup k cílovému systému.

Předpokládá se, že počet ovlivněných zařízení je vysoký, protože nástroj SupportAssist je jednou z aplikací, které Dell předinstalovává na všechny notebooky a počítače s operačním systémem Windows (zařízení bez systému tak logicky ovlivněna nejsou).

Dell již vydal opravu CVE-2019-3719 a v tomto okamžiku platí, že majitelé počítačů této značky se systémem Windows by měli zkontrolovat, zda mají nainstalovaný nástroj SupportAssist, a pokud ano, jestli byl aktualizován na verzi 3.2.0.90 nebo vyšší (aktuální nejnovější verze je 3.2.1.94).

Diskuze (5) Další článek: Grafická karta od Intelu bude mít hardwarovou akceleraci pro ray tracing

Témata článku: Software, Notebooky, Windows, Bezpečnost, Malware, Dell, Zneužití, Aplikace, Wi-fi síť, Windows možnost, Notebook, Bezpečnostní díra, Díra, Oprávnění, Počítač, Nástroj, Remote Cod Execution


Určitě si přečtěte

Pokud Google a Huawei ukončí spolupráci, bude to prý hrozba pro celý svět

Pokud Google a Huawei ukončí spolupráci, bude to prý hrozba pro celý svět

** Huawei chce vlastní OS pro mobily i PC. Mohl by ale uspět na Západě? ** Proti firmě se mezitím postavil i Facebook ** Google ale zároveň varuje před totální blokádou

Jakub Čížek | 65

Při tragické nehodě Tesly Model 3 byl zapnutý autopilot. Neudělal nic, ukázalo vyšetřování

Při tragické nehodě Tesly Model 3 byl zapnutý autopilot. Neudělal nic, ukázalo vyšetřování

** V březnu došlo k tragické nehodě Tesly Model 3 ** NTSB vydala předběžnou vyšetřovací zprávu ** V okamžiku havárie jel vůz v režimu Autopilota

Karel Kilián | 123

Kdyby dnes USA vypnuly GPS, možná byste si toho na mobilu ani nevšimli

Kdyby dnes USA vypnuly GPS, možná byste si toho na mobilu ani nevšimli

** Satelitní navigaci jsme si zvykli říkat podle americké předlohy GPS ** Dnešní telefony ale používají také evropský, ruský a čínský systém ** Kdyby USA nyní vypnuly GPS, možná byste to ani nepoznali

Jakub Čížek | 52

16 tipů a vychytávek, se kterými dokonale ovládnete komunitní navigaci Waze

16 tipů a vychytávek, se kterými dokonale ovládnete komunitní navigaci Waze

** Waze není jen navigace – je to i sociální síť s dopravními informacemi ** Mobilní aplikace skýtá široké možnosti nastavení ** Vybrali jsme pro vás 16 nejzajímavějších tipů a triků

Karel Kilián | 31



Aktuální číslo časopisu Computer

Velký test Wi-Fi mesh

Nejlepší hodinky pro všechny aktivity

Důležité aplikace na cesty

Jak streamovat video na Twitch