Ejecución De Código Remoto En Software De Dell

Introducción

Bill Demirkapi, un investigador de seguridad independiente de 17 años, descubrió una vulnerabilidad crítica de ejecución remota de código en la utilidad Dell SupportAssist que viene preinstalada en la mayoría de los ordenadores de la famosa marca.

Dell SupportAssist , anteriormente conocido como Dell System Detect , verifica el estado del hardware y el software de su computadora.

La utilidad ha sido diseñada para interactuar con el sitio web de asistencia de Dell y detectar automáticamente la etiqueta de servicio o el código de servicio rápido de su producto Dell, escanear los controladores de dispositivos existentes e instalar actualizaciones de controladores faltantes o disponibles, así como realizar pruebas de diagnóstico de hardware.

Explotación

Como se muestra en el video, Demirkapi demostró cómo los piratas informáticos, de forma remota, podrían haber descargado e instalado fácilmente el malware de un servidor remoto en las computadoras Dell afectadas para tomar control total sobre ellos.

Enlace a la prueba de concepto: https://github.com/D4stiny/Dell-Support-Assist-RCE-PoC

«Un atacante no autenticado, que comparte la capa de acceso a la red con el sistema vulnerable, puede comprometer al sistema vulnerable engañando a un usuario víctima para que descargue y ejecute ejecutables arbitrarios a través del cliente SupportAssist desde los sitios hospedados por el atacante».
Dell en un comunicado

La vulnerabilidad de ejecución remota de código, identificada como CVE-2019-3719, afecta a las versiones de Dell SupportAssist Client anteriores a la versión 3.2.0.90.

Además de este problema, Dell también solucionó una vulnerabilidad de validación de origen incorrecta (CVE-2019-3718) en el software SupportAssist que podría haber permitido a un atacante remoto no autenticado intentar ataques CSRF en los sistemas de los usuarios.