Undrar du någonsin över den inbyggda programvaran i datorn? Vad händer om den påverkar säkerheten? Vilket är det värsta tänkbara scenariot? Ett förinstallerad program i datorn kan utgöra en allvarlig säkerhetsrisk. Låt oss förstå vad som kan hända med hjälp av ett exempel nyligen från ett intrång hos Dell, ett välkänt datorteknikföretag som är verksamma inom hårdvaru- och mjukvarusystem.
Dell är ett amerikanskt multinationellt datorteknikföretag med kärnexpertis inom hårdvara och mjukvara. Ett globalt företag som designar, utvecklar och tillverkar persondatorer (pc) samt ett antal olika datorrelaterade produkter.
Dell SupportAssist, tidigare känt som Dell System Detect, kontrollerar hälsan på datorsystemets hårdvara och mjukvara. Målet med att ha denna funktion i systemet är följande:
1. Interagera med Dell Support-webbplatsen och automatiskt detektera en Service Tag eller Express Service Code för Dell-produkten
2. Skanna befintliga enhetsdrivrutiner och installera saknade drivrutiner eller befintliga uppdateringar
3. Utföra diagnostiska tester av hårdvaran
Bill Demirkapi, en ung (17-årig) oberoende säkerhetsforskare upptäckte en kritisk sårbarhet med fjärrstyrd kodkörning i funktionen Dell SupportAssist.
Hur fungerar då Dell SupportAssist? Den körs på en webbserver lokalt i användarsystemet och använder någon av portarna 8884, 8883, 8886 eller 8885. Den accepterar olika kommandon som URL-parametrar för att utföra vissa fördefinierade uppgifter på datorn. Dessa uppgifter innefattar aktiviteter som insamling av detaljerad systeminformation eller nedladdning av programvara från en fjärrserver och installation av den i systemet.
”En obehörig person som attackerar systemet, och delar nätverksåtkomstlagret med det sårbara systemet, kan kompromettera det sårbara systemet genom att lura en användare att ladda ned och exekvera en godtycklig körbar kod via SupportAssist-klienten från en attacksajt”, säger det multinationella datorteknikföretaget Dell i ett meddelande.
Vår nästa generations cybersäkerhetstjänst kan dock förebygga ovan identifierad ARP-attack tack vare detekterings- och åtgärdsprocess baserad på IOC och IOA. Genom att analysera det digitala avtrycket kan vi förebygga sådana attacker med hjälp av digital forensisk teknik och bedrägerihanteringsteknik. Vad beträffar företagsnätverksinfrastruktur kan vi göra följande:
1. Automatisera hotkorrelationssystemet och förebygga attacker med hjälp av AI-drivna analyser av hotunderrättelser och beteenden.
2. Hitta en sådan attack med hjälp av en proaktiv hotjaktstjänst (säkerhetsanalyser för att detektera okända och dolda hot).
3. Övervaka nätverksenheter och slutanvändarenheter för att identifiera riskerna i miljön.
4. Blockera hot i miljön med IOC/IOA.
Efter att problemet blivit känt har Dell åtgärdat en sårbarhet vid validering av felaktigt ursprung (CVE-2019-3718) i programvaran Support Assist. Detta kommer att hjälpa användarna att förebygga CSRF-attacker (Cross-Site Request Forgery) i systemen.
