戴尔电脑系统检测工具可被利用远程安装恶意软件
作者: 日期:2015年03月26日 阅:3,257

戴尔支持工具的原本功能是检测顾客所使用的产品类型。然而对于那些运行带有漏洞的戴尔支持工具的电脑而言,攻击者可以对其远程安装恶意软件。

相关软件叫做戴尔系统检测,当用户在戴尔支持网站上点击“检测产品类型”时被提供给用户。该产品的目标是帮助网站自动检测用户的产品类型,确切地说是产品的服务标签(Service Tag),这样网站可以提供对应的驱动和资源。

去年,一位安全研究者对该软件进行了反编译,以测试它是如何与戴尔官方网站进行通信的。他发现软件在本地主机上安装了一个网络服务器,监听端口是8884。通过用户的浏览器,戴尔网站运用JavaScript对本地服务器发起请求。

更有趣的是,研究者发现该软件在处理请求之前会先检测来源URL是否包含“dell”短语。该功能的初衷应该是防止不合法网站和软件进行通信,然而其本身是有漏洞的,因为不只是www.dell.com域名下的服务可以与软件进行通信,任何域名内带有dell短语的网站都会通过检测,比如evil-site.com/dell。

进一步来讲,戴尔系统检测软件不只是检测产品服务标签,还拥有其它可以被远程调用的功能。其中包括获得设备名(getdevices)、获得系统信息(getsysteminfo),检查操作系统权限(checkadminrights),下载文件(downloadfiles)以及下载并自动安装(downloadandautoinstall)。

最后一项功能异常危险,因为它有可能使得一个并非戴尔官方的网站强迫系统检测软件下载并秘密安装恶意程序。

研究者发现,在调用下载并自动安装功能之前会进行某种程度的权限验证,但这种验证很脆弱,并且依赖于硬编码的标识符。研究者写了一段Python程序,以生成所需的验证令牌。

总之,攻击者可以通过特定的域名对任何使用该软件的人发起通信,并让目标下载安装任意文件。这可以通过多种方式实现,并且有很大可能性使得用户在不知不觉的情况中下载执行恶意数据。

戴尔在1月9日对所有该软件的使用者推送了更新,封堵了这一漏洞。但是,研究者现在无法检查新版本的验证机制,因为戴尔混淆了该程序的代码,加大了反编译的难度。

戴尔有可能只是将检测方式从“if 戴尔字段在域名中”变成了“if 戴尔字段在主域名中”,这有可能防止之前的攻击,但其仍旧有漏洞。

不过研究者表示,由于戴尔已经混淆了代码,这种推断并没有得到证实。而且,如果戴尔已经提升了程序其它方面的安全性,“if 戴尔”检查可能已经不再重要了。

本周二,戴尔的发言人表示这一漏洞已被修复。尽管漏洞已经被修复,它的出现本身已经让一些用户感到焦虑。对于软件和硬件企业作为政府监视行为的帮凶的怀疑情绪在过去的两年中愈演愈烈,特别是在爱德华斯诺登曝出了NSA的监视项目文件之后。

于是,戴尔在其发布官方声明中表示:

如果意识到任何产品中可能的漏洞,将会以透明的方式与客户取得联系。戴尔不会与任何政府合作来入侵自身的产品,包括“软件植入”或所谓的“后门”。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章