Oletko koskaan miettinyt esiasennetun ohjelmiston aiheuttamaa mahdollista tietoturvariskiä tietokoneessasi? Mikä on pahin mahdollinen skenaario? Syytä huoleen on, sillä esiasennettu ohjelma tietokoneessasi voi aiheuttaa vakavan tietoturvariskin. Hyvä esimerkki tästä on Delliin kohdistunut tietomurto.
Dell on yhdysvaltalainen monikansallinen tietokonealan teknologiayritys, jonka ydinosaamista on laitteisto- ja ohjelmistokehitys. Dell suunnittelee, kehittää ja valmistaa henkilökohtaisia tietokoneita (PC) sekä erilaisia tietokoneeseen liittyviä tuotteita.
Esiasennettu Dell SupportAssist, joka aiemmin tunnettiin nimellä Dell System Detect, tarkistaa tietokonejärjestelmäsi laitteiston ja ohjelmiston kunnon. Tämän apuohjelman tavoite on:
- Vuorovaikutus Dellin tukisivuston kanssa ja Dell-tuotteiden automaattinen tunnistaminen palvelutunnisteesta tai Express-palvelukoodista.
- Tarkistaa asennetut laiteajurit ja asentaa puuttuvat tai saatavilla olevat ajuripäivitykset.
- Suorittaa laitteistodiagnostiikkatestejä.
Bill Demirkapi, nuori (17-vuotias) itsenäinen tietoturvatutkija, löysi kriittisen etäkoodin suoritushaavoittuvuuden Dellin SupportAssist-ohjelmassa.
Miten Dell SupportAssist toimii käytännössä? Se käyttää tietokoneen järjestelmässä paikallisesti toimivaa verkkopalvelinta, joka käyttää yhtä porteista 8884, 8883, 8886 tai portti 8885. Lisäksi se hyväksyy erilaisia komentoja URL-parametreina suorittaakseen ennalta määriteltyjä tehtäviä tietokoneella. Nämä tehtävät voivat sisältää esimerkiksi yksityiskohtaisten järjestelmätietojen keräämistä tai ohjelmiston lataamista etäpalvelimelta ja sen asentamista järjestelmään.
“Auktorisoimaton hyökkääjä, joka jakaa verkkopääsyn haavoittuvaisen järjestelmän kanssa, voi vaarantaa järjestelmän huijaamalla käyttäjän lataamaan ja suorittamaan haitallisia suoritettavia tiedostoja hyökkääjän isännöimiltä sivustoilta SupportAssist -clientin kautta.” Dell tiedotti haavoittuvaisuuden löydyttyä.
Korjatakseen tilanteen Dell on paikannut alkuperäisvalidoinnin (CVE-2019-3718) haavoittuvuuden Support Assist -ohjelmistossa. Tämä estää käyttäjiä joutumasta CSRF (Cross-Site Request Forgery) -hyökkäysten uhriksi.
Uusi kyberturvapalvelumme voi estää yllä mainitun ARP-hyökkäyksen IOC- ja IOA-menetelmiin perustuvan havaitsemis- ja korjausprosessin avulla. Analysoimalla digitaalista jalanjälkeä voimme estää vastaavat hyökkäykset hyödyntäen digitaalista forensiikkaa ja petoksenhallintamenetelmiä.
Yritysverkko-infrastruktuurin osalta voimme:
- Automatisoida uhkien korrelaatiojärjestelmän ja estää hyökkäykset käyttäen tekoälyyn perustuvaa uhkatiedustelua ja käyttäytymisanalyysiä.
- Havaita hyökkäykset proaktiivisesti uhkia metsästäen (turva-analytiikka tuntemattomien ja piilotettujen uhkien havaitsemiseen).
- Seurata verkko- ja päätelaitteita riskien tunnistamiseksi IT-ympäristössä.
- Pysäyttää uhka ympäristössä hyödyntäen IOC / IOA -menetelmiä.
Korjatakseen tilanteen Dell on paikannut alkuperäisvalidoinnin (CVE-2019-3718) haavoittuvuuden Support Assist -ohjelmistossa. Tämä estää käyttäjiä joutumasta CSRF (Cross-Site Request Forgery) -hyökkäysten uhriksi.
