Dell corrige plusieurs vulnérabilités critiques sur son logiciel de mises à jour
Date de publication :
Deux chercheurs indépendants en sécurité informatique, Bill Demirkapi et John C. Hennessy-ReCar, ont découvert chacun une vulnérabilité critique sur une application installée par défaut sur la majorité des ordinateurs de la marque Dell.
L’application en question est « Dell SupportAssist ». Son rôle est d’interagir automatiquement avec le site de support Dell en ligne, d’effectuer des diagnostics matériels et des mises à jour automatiques de pilotes en passant par le site web du constructeur.
Contacté sur ces deux vulnérabilités, Dell déclare avoir travaillé depuis plusieurs mois sur un correctif de sécurité, aujourd’hui disponible.
Détails Techniques :
Les deux vulnérabilités suivantes ont été corrigées :
- CVE-2019-3718 [CVSS V3 8.8] : Vulnérabilité de validation d'origine incorrecte. Un attaquant distant non authentifié pourrait potentiellement exploiter cette vulnérabilité pour tenter des attaques de type "cross-site request forgery" (CSRF), consistant à faire effectuer une action aux dépens de l’utilisateur à travers une requête HTTP spécialement conçue sur les machines vulnérables.
- CVE-2019-3719 [CVSS V3 8.0] : Vulnérabilité d'exécution de code arbitraire à distance. Un attaquant partageant le même accès réseau qu’une cible peut compromettre son système en trompant celle-ci à travers un site Internet arbitraire utilisant la vulnérabilité de l’application « Dell SupportAssist ». L'attaquant peut télécharger et exécuter du code arbitraire sur l’ordinateur cible.
- Cette vulnérabilité connue des chercheurs en sécurité de Dell n’a pas été exploitée directement par Bill Demirkapi. Ce dernier a par ailleurs réussi à démontrer que ce système pouvait être détourné pour installer sur une machine cible un programme malveillant et provoquer son exécution. En effet :
- L’application « Dell SupportAssist » crée un service web sur la machine de l’utilisateur et crée ainsi une Interface de Programmation Applicative (« API, Application Programming Interface ») avec laquelle les serveurs de Dell peuvent interagir ;
- Pour éviter que quiconque puisse faire des requêtes sur une telle interface, l’application vérifie l’origine de la requête qui ne peut provenir que de l'adresse dell.com ;
- Cependant, en étant sur le même réseau que la cible, il est possible de tromper l’utilisateur et de passer outre ces restrictions.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire.
- Exécution de script (CSRF).
Criticité
- Score CVSS : 8.8
Existence d’un code d’exploitation de la vulnérabilité
-
Un code d'exploitation est disponible uniquement pour la seconde vulnérabilité :
https://github.com/D4stiny/Dell-Support-Assist-RCE-PoC
Une vidéo de preuve de concept est également disponible :
Composants & versions vulnérables
- Versions de Dell SupportAssist avant 3.2.0.90
CVE
- CVE-2019-3718
- CVE-2019-3719
Solutions ou recommandations
Mise en place de correctif de sécurité
- La dernière version de Dell SupportAssist (3.2.0.90) corrige ces vulnérabilités.
Solution de contournement
- Il est conseillé de mettre à jour l'application, ou de la désinstaller si celle-ci n'est pas utilisée.