Una vulnerabilità grave nell'utility Dell SupportAssist a bordo dei portatili e desktop dell'azienda statunitense permette a malintenzionati di prendere il controllo del sistema ed eseguire codice con i permessi di amministratore.
Il problema riguarda la versione del software antecedente al 23 aprile: Dell ha infatti creato una nuova versione del software che risolve il problema, ma trattandosi di uno strumento preinstallato sui sistemi Dell con sistema operativo Windows, il numero di utenti a rischio dovrebbe ancora essere decisamente elevato - i computer Dell senza OS sono al sicuro.
SupportAssist è un software che svolge debugging, diagnosi e soprattutto l’aggiornamento automatico dei driver Dell. Come spiegato da Bill Demirkapi, ricercatore di sicurezza statunitense di 17 anni che ha scoperto il problema, il tool fornisce in determinate circostanze una via semplice per prendere il controllo del PC.
L'attacco consiste nel dirottare l'utente su una pagina maligna, dove del codice JavaScript può ingannare Dell SupportAssist, inducendolo a scaricare e avviare file da una posizione controllata dal malintenzionato. Dato che il software gira con privilegi amministrativi, i malintenzionati avranno pieno accesso al sistema, se riescono a inserirsi nella posizione corretta per eseguire questo attacco.
Per portare a compimento l'intrusione è necessario che il malintenzionato si intrufoli sulla rete della vittima per seguire un attacco di spoofing ARP e DNS sul PC della vittima al fine di eseguire il codice da remoto.
Per quanto possa sembrare uno scenario improbabile, negli ultimi mesi vi sono stati casi che hanno dimostrato quanto possa in realtà rivelarsi semplice bucare la sicurezza di un router, in particolar modo sulle reti pubbliche o aziendali dove è più semplice trovare un PC compromesso, come spiegato da Demirkapi a ZDNet.
L’elemento più preoccupante di tutta la vicenda è che per portare a termina tale violazione, non è richiesta alcuna azione da parte dell’utente, se non l’accesso alla pagina web maligna. Il problema è che tale accesso può essere sovrapposto a una pagina web sicura (tramite iframe pubblicitari per esempio), Nel caso specifico, il codice JavaScript veniva nascosto in un sottodominio di dell.com.
Ad ogni modo, Dell si è immediatamente messa in moto per risolvere il problema, tanto che già la settimana scorsa è stata rilasciata la nuova versione del software (la v3.2.0.90) che risolve la vulnerabilità e che quindi, consigliamo caldamente di installare se avete un sistema Dell.