[Technik] Remote Code Execution bei vielen Dell Computern

Jump to last post
dell-2144351_960_720.jpg

Viele Dell Computer haben den Dell SupportAssistent installiert, der "proactively check the health of your system's hardware and software". Der Assistent hilft u.a. bei der Installation von Treibern. Jedoch enthält er auch eine Remote Code Execution.

[1] beschreibt, dass er für die Treiber-Installation auf der Dell Support-Seite mit dem Support-Assistent konfrontiert wurde, der automatisch Treiber für den Nutzer installieren sollte. Wenn installiert, erstellt der SupportAssistent die Dienste SupportAssistAgent und Dell Hardware Support. Die Dell Support-Seite macht einen Request zum Port 8884 des betroffenen PCs. Dies ist möglich, da der SupportAssistAgent einen Webserver mit diesem und den Ports 8883, 8885 und 8886 betreibt. Die Kommunikation läuft über eine REST API, während der Webserver einen strikten Access-Controll-Allow-Origin Header von
You do not have permission to view link please Anmelden or Registrieren
benötigt.

Der Dell SupportAssist startet einen Webserver (System.Net.HttpListener) auf einem der oben genannten Ports. Bei einem Request ruft der ListenerCallback den ClientServiceHandler.ProcessRequest. Dies ist die Basis-Webserver-Funktionalität, die zunächst Integritätschecks durchführt. Ein wichtiger Check ist, dass der Server wirklich von Dell ist. Der Check ist jedoch nicht sauber und erlaubt einem Angreifer mehrere Möglichkeiten. In [1] finden sich mehr Details zum Angriff, in [3] der Proof of Concept. Dell hat inzwischen ein Advisory [2] herausgebracht.

Quellen:
[1]
You do not have permission to view link please Anmelden or Registrieren

[2]
You do not have permission to view link please Anmelden or Registrieren

[3]
You do not have permission to view link please Anmelden or Registrieren
 
Zum Vergrößern anklicken....
Deshalb der Grundsatz der seit 20 Jahren in der IT gilt: Kaufst du einen neuen Rechner, so installiere das Betriebssystem neu.
 
  • Thread Starter Thread Starter
  • #3
Sehe ich auch so. Ich finds nur kritisch, dass Dell für Treiber-Updates sein Tool vorsieht. Das müsste doch auch anders gehen...
 
The_Emperor schrieb:
Deshalb der Grundsatz der seit 20 Jahren in der IT gilt: Kaufst du einen neuen Rechner, so installiere das Betriebssystem neu.
Zum Vergrößern anklicken....



Nur blöd wenn das Mainboard dann ein neues Programm bei der Finalen Windows installation frech dreist mitinstalliert (*hust* ASUS */hust*) wo dann schön ein Trojaner mit installiert wird...

MfG
 
You do not have permission to view link please Anmelden or Registrieren
Mich wundert ja sowieso, weshalb es bis heute unter Windows keine standardisierte gute Treiberupdate Lösung gibt.
 
Die gibt es... die Treiber kommen mit Windows Update mit (Und werden dann zumindest im Blackbox-Test auch automatisiert vor veröffentlichung getestet).
Nur die meisten Hersteller machen lieber ihr eigenes Ding...

Siehe ebenso Microsoft Store - der schon seit längerem nicht nur für UWP-Apps funktioniert.
Dort währen Software-updates zentralisiert möglich. Ja MS möchte dafür etwas Geld - nur das Betreiben einer Update-Infrastrktur im eigenen RZ und das entwickeln / pflegen der Update-Dienste einer Anwendung usw. kostet ebenso Geld. Aber auch hier kochen die Firmen lieber ihre eigene Suppe um sich nicht "abhängig" zu machen.

Hat eben leider alles seine Vor und Nachteile :/
 
You do not have permission to view link please Anmelden or Registrieren
Danke für die Aufklärung! Wieso funktioniert das dann nur unter dem Pinguin (mWn) so gut? Finde das einfach nervig. :/
 
@DukeMan999: Deshalb entpacke ich die Treiberdateien von solchen Updates auch manuell bzw. lasse Windows selbst die CD durchsuchen, welche Treiber es möchte. Da installiert sich dann auch keine Scheiße mit.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben