Si usa una computadora Dell, tenga cuidado: los piratas informáticos podrían comprometer su sistema de forma remota.
Bill Demirkapi, un investigador de seguridad independiente de 17 años, descubrió una vulnerabilidad crítica de ejecución remota de código en la utilidad Dell SupportAssist que viene preinstalada en la mayoría de las computadoras Dell.
Dell SupportAssistanteriormente conocido como Detección del sistema Dellcomprueba el estado del hardware y el software de su sistema informático.
La utilidad se diseñó para interactuar con el sitio web de soporte de Dell y detectar automáticamente la etiqueta de servicio o el código de servicio rápido de su producto Dell, escanear los controladores de dispositivos existentes e instalar las actualizaciones de controladores faltantes o disponibles, así como realizar pruebas de diagnóstico de hardware.
Si se pregunta cómo funciona, Dell SupportAssist en segundo plano ejecuta un servidor web localmente en el sistema del usuario, ya sea en el puerto 8884, 8883, 8886 o el puerto 8885, y acepta varios comandos como parámetros de URL para realizar algunas tareas predefinidas en la computadora, como recopilar información detallada del sistema o descargar un software desde un servidor remoto e instalarlo en el sistema.
Aunque el servicio web local se ha protegido mediante el encabezado de respuesta «Access-Control-Allow-Origin» y tiene algunas validaciones que lo restringen para aceptar comandos solo desde el sitio web «dell.com» o sus subdominios, Demirkapi explicó formas de omitir estos protecciones en una entrada de blog publicada el miércoles.
Como se muestra en el video, Demirkapi demostró [PoC code] cómo los piratas informáticos remotos podrían haber descargado e instalado malware fácilmente desde un servidor remoto en las computadoras Dell afectadas para tomar el control total sobre ellas.
«Un atacante no autenticado, que comparte la capa de acceso a la red con el sistema vulnerable, puede comprometer el sistema vulnerable al engañar a un usuario víctima para que descargue y ejecute ejecutables arbitrarios a través del cliente SupportAssist desde los sitios alojados por el atacante», dijo la empresa multinacional de tecnología informática Dell en un aviso.
La vulnerabilidad de ejecución remota de código, identificada como CVE-2019-3719, afecta a las versiones de Dell SupportAssist Client anteriores a la versión 3.2.0.90.
Antes de publicar los detalles de la vulnerabilidad en público, el investigador informó responsablemente sus hallazgos al equipo de seguridad de Dell, que ahora lanzó una versión actualizada del software afectado para abordar el problema.
Además de este problema, Dell también corrigió una vulnerabilidad de validación de origen incorrecta (CVE-2019-3718) en el software SupportAssist que podría haber permitido que un atacante remoto no autenticado intentara ataques CSRF en los sistemas de los usuarios.
Se recomienda a los usuarios de Dell que instalen Dell SupportAssist 3.2.0.90 actualizado o posterior, o simplemente desinstalen la aplicación por completo, si no es necesario, antes de que los piratas informáticos intenten aprovechar las debilidades para tomar el control total de sus sistemas informáticos.
