首页 > 安全钻研 > 安全传递 > 安全公告

戴尔SupportAssist DLL劫持缝隙安全公告

颁布功夫 2019-06-25

缝隙编号和级别

CVE编号：CVE-2019-12280，危险级别：高危，CVSS分值：官方未评定

影响版本

受影响的版本

Dell SupportAssist for Business PCs版本2.0；

Dell SupportAssist for Home PCs 3.2.1及之前的所有版本

缝隙概述

6月21日戴尔颁布安全传递，督促用户更新戴尔电脑上预装置的SupportAssist软件，以建复DLL劫持缝隙（CVE-2019-12280）。该缝隙可被拥有通例用户权限的攻击者利用，通过恶意DLL文件进行提权和获得悠久性。

SupportAssist是戴尔电脑上预装置的一个软件，用于查抄系统硬件和软件的运行情况，该软件以SYSTEM权限运行。钻研人员发现该软件存在DLL劫持缝隙，允许远程攻击者将肆意未署名的DLL加载到以SYSTEM权限运行的服务中，从而实现权限提升和悠久性 - 蕴含对物理内存、系统治理BIOS等底层组件的读/写接见。该缝隙使攻击者可能通过已署名的服务加载和执行恶意payload，攻击者可将此能力用于执行或逃避检测等分歧主张，例如：利用法式白名单绕过、署名验证绕过。

该缝隙的底子原因是：

1、不足安全的DLL加载。代码中使用LoadLibraryW步骤，而不是LoadLibraryExW；这允许未经授权的用户通过某些象征来界说搜索挨次，例如LOAD_LIBRARY_SEARCH_DLL_LOAD_DIR。反过来，该象征又限造只在自己的文件夹中搜索DLL，预防了在PATH变量中搜索DLL的情况。

2、没有对二进造文件进行署名验证。该法式没有验证它将加载的DLL是否已署名，因而它将加载肆意未署名的DLL。

由于戴尔SupportAssist使用的组件是由第三方PC-Doctor开发和守护的，因而该缝隙也影响到依赖PC-Doctor的其它PC造作商。确认受影响的组件是PC-Doctor Toolbox for Windows，该组件被以下工具所使用：

CORSAIR ONE Diagnostics
CORSAIR Diagnostics
Staples EasyTech Diagnostics
Tobii I-Series Diagnostic Tool
Tobii Dynavox Diagnostic Tool

缝隙验证

POC：https://safebreach.com/Post/OEM-Software-Puts-Multiple-Laptops-At-Risk。

建复建议

建议戴尔用户更新至以下版本：

Dell SupportAssist for Business PCs 版本2.0.1

Dell SupportAssist for Home PCs 版本3.2.2

参考链接

https://www.dell.com/support/article/cn/zh/cndhs1/sln317291/dsa-2019-084-dell-supportassist-for-business-pcs-and-dell-supportassist-for-home-pcs-security-update-for-pc-doctor-vulnerability?lang=en

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

戴尔SupportAssist DLL劫持缝隙安全公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线