Har du noen gang lurt på den forhåndsbygde programvaren på datamaskinen din? Hva vil skje hvis det påvirker sikkerheten din? Hva er det verste scenarioet? En forhåndsinstallert del i datamaskinen kan utgjøre en alvorlig sikkerhetsrisiko. La oss forstå det fra et nylig eksempel på brudd hos Dell, et velkjent teknologiselskap som driver med maskinvare- og programvaresystemer.
Dell er et amerikansk multinasjonalt datateknologiselskap med sin kjerneekspertise innen maskinvare og programvare. Et globalt selskap som designer, utvikler og produserer personlige datamaskiner (PC-er) og en rekke datamaskinrelaterte produkter.
Dell SupportAssist, tidligere kjent som Dell System Detect, sjekker tilstanden til datamaskinsystemets maskinvare og programvare. Målet med å ha dette verktøyet i systemet er å:
• samhandle med Dells nettsted for kundestøtte og finne automatisk servicemerke eller ekspresservicekode for Dell-produktet ditt.
• skanne de eksisterende enhetsdriverne og installer manglende eller tilgjengelige driveroppdateringer.
• utføre maskinvarediagnostiske tester.
Bill Demirkapi, en ung (17 år gammel) uavhengig sikkerhetsforsker oppdaget et kritisk sikkerhetsproblem med ekstern kjøring av kode i Dell SupportAssist-verktøyet.
Nå, hvordan fungerer Dell SupportAssist egentlig? Den kjører en webserver lokalt på brukersystemet, ved å bruke en av portene fra 8884, 8883, 8886 eller port 8885. Videre godtar den forskjellige kommandoer som nettadresseparametere for å utføre noen forhåndsdefinerte oppgaver på datamaskinen. Disse oppgavene inkluderer aktiviteter som å samle inn detaljert systeminformasjon eller laste ned en programvare fra ekstern server og installere den på systemet.
«En uautentisert angriper, som deler nettverkstilgangslaget med det sårbare systemet, kan kompromittere det sårbare systemet ved å lure en offerbruker til å laste ned og kjøre vilkårlig kjørbar fil via SupportAssist-klienten fra angriper-vertsbaserte nettsteder,» sa det multinasjonale datateknologiselskapet Dell i et råd .
Vår neste generasjons cybersikkerhetstjeneste kan imidlertid forhindre det ovenfor identifiserte ARP-angrepet gjennom gjenkjennings- og utbedringsprosess basert på IOC og IOA. Ved å analysere digitalt fotavtrykk kan vi forhindre slike angrep ved hjelp av digitale etteretningstekniske teknikker og svindelhåndteringsteknikker. Når det gjelder en bedriftsnettverksinfrastruktur, kan vi:
- 1. automatisere trusselkorrelasjonssystem og forhindre angrep ved hjelp av AI-drevet trussel Intel og atferdsanalyse.
- 2. finne slike angrep ved å bruke proaktiv trusseljakttjeneste (Security Analytics for å oppdage ukjente og skjulte trusler).
- 3. overvåke nettverksenheter og endepunktenheter for å finne risikoene i miljøet.
- 4. blokkere trussel i miljøet ved hjelp av IOC/IOA.
Etter å ha fått vite om tilstanden, har Dell rettet et feilaktig opprinnelsesvalidering (CVE-2019-3718), sårbarhet i Support Assist-programvaren. Dette vil hjelpe brukerne deres til å forhindre CSRF-angrep (Cross-Site Request Forgery) i systemene deres.
