Dell发布了一份安全公告,敦促客户更新内置在企业和家用计算机中的易受攻击的SupportAssist应用程序。 分配给CVE-2019-12280的特权升级漏洞可以使黑客访问敏感信息并控制数百万台运行Windows的Dell计算机。
Dell SupportAssist是用于对系统硬件和软件进行运行状况检查的应用程序。 为了使该工具正常工作,它需要高权限级别的访问权限,因此必须以SYSTEM身份运行。 通过该漏洞获得对SupportAssist的访问权限,可以使外部人员控制一台计算机,并允许外部人员通过已签名的服务或Microsoft认为安全的服务执行恶意有效负载。
该漏洞是由SafeBreach研究人员首先报告的,他们发现SupportAssist不能安全地处理其动态链接库(DLL),从而使黑客可以劫持DLL。
与许多程序一样,SupportAssist在启动时会加载DLL文件。 但是,SafeBreach发现,只要SupportAssist应用程序共享与软件可以识别的DLL文件相同的文件名,它便可以加载任何未签名的DLL。 这意味着SupportAssist不会检查正在加载的DLL文件的创建者和位置。 在这种情况下,DLL劫持成为可能,在这种情况下,攻击者可以用恶意DLL替换DLL文件。
该漏洞源自SupportAssist中使用的PC-Doctor第三方组件。 该漏洞最初是在4月29日报告给Dell的。受此漏洞影响的其他软件产品包括Windows PC博士工具箱,它具有多个重新命名的标题。
解决方案和建议
Dell在5月28日发布了该漏洞的补丁程序,并报告说大约90%的客户已经收到了该补丁程序。 如果为计算机启用了自动更新,Dell SupportAssist也将自动更新。
用户和企业都必须继续与新旧漏洞保持同步。 假设许多用户根本不立即应用所需的补丁,那么网络分子将继续寻找新方法来利用旧的和已修补的漏洞。
企业和用户可以使用现有技术来更快地响应漏洞。 例如,虚拟补丁之类的技术可以保护组织免受基于已知和未知漏洞的攻击。
[阅读:虚拟补丁:在利用这些漏洞之前先对其进行补丁]
Trend Micro™趋势科技服务器深度安全防护系统解决方案提供了虚拟补丁程序,可保护服务器和端点免受威胁滥用关键应用程序中的漏洞的威胁。
Trend Micro™Deep Discovery™解决方案可通过专门的引擎,自定义沙箱以及在整个攻击生命周期中实现无缝关联,利用漏洞利用和其他类似威胁,提供检测,深入分析和对攻击的主动响应。 威胁,即使没有任何引擎或特征码更新。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢