Viele Dell Computer haben den Dell SupportAssistent installiert, der "proactively check
[1] beschreibt, dass er für die Treiber-Installation auf der Dell Support-Seite mit dem Support-Assistent konfrontiert wurde, der automatisch Treiber für den Nutzer installieren sollte. Wenn installiert, erstellt der SupportAssistent die Dienste SupportAssistAgent und Dell Hardware Support. Die Dell Support-Seite macht einen Request zum Port 8884 des betroffenen PCs. Dies ist möglich, da der SupportAssistAgent einen Webserver mit diesem und den Ports 8883, 8885 und 8886 betreibt. Die Kommunikation läuft über eine REST API, während der Webserver einen strikten Access-Controll-Allow-Origin Header von https://www.dell.com benötigt.
Der Dell SupportAssist startet einen Webserver (System.Net.HttpListener) auf einem der oben genannten Ports. Bei einem Request ruft der ListenerCallback den ClientServiceHandler.ProcessRequest. Dies ist die Basis-Webserver-Funktionalität, die zunächst Integritätschecks durchführt. Ein wichtiger Check ist, dass der Server wirklich von Dell ist. Der Check ist jedoch nicht sauber und erlaubt einem Angreifer mehrere Möglichkeiten. In [1] finden sich mehr Details zum Angriff, in [3] der Proof of Concept. Dell hat inzwischen ein Advisory [2] herausgebracht.
Quellen:
[1] https://d4stiny.github.io/Remote-Code-Execution-on-most-Dell-computers/
[2] https://www.dell.com/support/articl...supportassist-client-multiple-vulnerabilities
[3] https://github.com/D4stiny/Dell-Support-Assist-RCE-PoC