Se
han reportado
tres vulnerabilidades en ordenadores Dell
que podrían permitir a atacantes desactivar
protecciones de seguridad, elevar privilegios y ejecutar código arbitrario.
Una vez más los problemas residen en el
software propietario preinstalado por Dell.
El software propietario
preinstalado por los fabricantes, también conocido como "bloatware", suele ser causa
habitual de problemas junto con un consumo innecesario de espacio y recursos.
Pero además, no suele estar exento de vulnerabilidades que pueden llegar a
comprometer gravemente la seguridad de los sistemas.
Los problemas han sido anunciados
por el investigador Marcin 'Icewall' Noga del equipo Cisco Talos y antiguo
compañero de Hispasec. Los problemas se encuentran en el software de servicio Dell Precision Optimizer y en Invincea-X e
Invincea Dell Protected Workspace.
Vulnerability Spotlight: Dell Precision Optimizer and Invincea Vulnerabilities https://t.co/qiYFzqpA0i— Talos Group (@TalosSecurity) 30 de junio de 2017
El primer problema, con CVE-2016-9038,
reside en una doble búsqueda en el controlador SboxDrv.sys. La vulnerabilidad
se puede explotar mediante el envío de datos específicos al controlador de
dispositivo \Device\SandboxDriverApi que es accesible para todos como de
lectura y escritura. Esto puede permitir la escritura de un valor arbitrario en
el espacio de memoria del kernel, que puede conducir a la escalada de
privilegios locales. Afecta a Invincea-X y Dell Protected Workspace 6.1.3-24058.
Por otra parte, con CVE-2016-8732, múltiples vulnerabilidades
en uno de los componentes del controlador 'InvProtectDrv.sys'
incluido en la versión 5.1.1-22303 de Invincea Dell Protected Workspace; una
solución de seguridad ofrecida por Dell que pretende proporcionar una
protección mejorada para los puntos finales. Los problemas residen en las
débiles restricciones en el canal de comunicaciones del controlador, así como a
una validación insuficiente. De forma que un atacante podría aprovechar este
controlador para desactivar algunos de los mecanismos de protección
proporcionados por el software. Afecta
a Invincea Dell Protected Workspace 5.1.1-22303. Esta vulnerabilidad
está corregida en la versión 6.3.0 del software.
Por último, con CVE-2017-2802, un
problema de carga de librerías en la aplicación Dell Precision Optimizer. Durante
el arranque del servicio 'Dell PPO Service', incluido en la aplicación Dell
Precision Optimizer, el programa 'c:\Archivos de programa\Dell\PPO\poaService.exe'
carga la dll, 'c:\Archivos de programa\Dell\PPO\ati.dll'. Que a su vez intenta
cargar 'atiadlxx.dll', que no está presente de forma predeterminada en el
directorio de la aplicación. El programa buscará la DLL en los directorios
especificados por la variable de entorno PATH. Si encuentra una dll con el
mismo nombre, se cargará la dll en poaService.exe sin comprobar la firma de la
dll. Esto puede llevar a la ejecución de código arbitrario si un atacante
suministra una DLL malintencionada con el nombre correcto.
Afecta a Dell Precision Tower
5810 con tarjeta gráfica nvidia, PPO Policy Processing Engine (3.5.5.0),
ati.dll (PPR Monitoring Plugin) (3.5.5.0). Dell ha publicado una actualización
para solucionar este problema. Todas las versiones desde la v4.0 no son
vulnerables.
No es la primera vez que ocurre
algo así, podemos recordar el caso Superfish en Lenovo y a la propia Dell con dos
certificados raíz preinstalados.
Más Información:
Vulnerability Spotlight: Dell Precision
Optimizer and Invincea Vulnerabilities
una-al-dia (20/02/2015)
Portátiles Lenovo con malware de regalo
una-al-dia (24/11/2015)
Portátiles Dell con certificado raíz preinstalado
una-al-dia (27/11/2015) Dell: No
te gustan los certificados raíz... ¡pues toma dos!
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario