Credit: Dell
Bill Demirkapi นักวิจัยด้านความมั่นคงปลอดภัยวัย 17 ปีได้ค้นพบช่องโหว่บนซอฟต์แวร์ Dell SupportAssist ซึ่งทำให้แฮ็กเกอร์สามารถทำการลอบรันโค้ดจากทางไกลด้วยสิทธิ์ระดับ Admin ได้ จึงทำให้ผู้ใช้งานโน๊ตบุ๊คและคอมพิวเตอร์จาก Dell มีความเสี่ยงต่อการถูกโจมตี อย่างไรก็ตาม Dell ได้ประกาศออกแพตช์เรียบร้อยแล้ว ดังนั้นผู้ใช้งานควรตามไปอัปเดตโดยด่วน
ช่องโหว่ที่ค้นพบมีหมายเลขอ้างอิงคือ CVE-2019-3719 ซึ่งเกิดขึ้นกับซอฟต์แวร์ SupportAssist หรือเครื่องมือสำหรับ Debug และ Diagnostics รวมถึงอัปเดตไดร์ฟเวอร์ของ Dell อย่างอัตโนมัติ นอกจากนี้ซอฟต์แวร์จะติดตั้งมากับเครื่องโน๊ตบุ๊คหรือคอมพิวเตอร์ที่ลง Windows มาให้แล้ว (ผู้ใช้ที่ซื้อมาแล้วไม่ได้ลง Windows มาให้รอดตัว) โดยช่องโหว่จะทำให้คนร้ายสามารถเข้ามา Remote Code Execution บนเครื่องได้ในระดับสิทธิ์ Admin เพราะซอฟต์แวร์ใช้สิทธิ์นี้อยู่
อย่างไรก็ตามสำหรับวิธีการใช้งานช่องโหว่นั้นไม่ง่ายนักเพราะแฮ็กเกอร์ต้องเข้ามาอยู่ในเครือข่ายของเหยื่อเสียก่อนเพื่อทำ ARP Spoofing และ DNS Spoofing ให้ได้ โดยขั้นตอนเดียวที่เกี่ยวข้องกับเหยื่อคือต้องหลอกให้เข้าไปยังเว็บเพจอันตรายที่มี JavaScript ให้ได้(อาจซ่อนอยู่ใน iframe หรือวางปกติอยู่บนเว็บไซต์) จากนั้นช่องโหว่จะสามารถทำให้ Dell SupportAssist เกิดการดาวน์โหลดและรันไฟล์ของแฮ็กเกอร์ได้อัตโนมัติ โดยสถานการณ์ที่จะเกิดขึ้นได้มีตัวอย่างดังนี้
- เครือข่าย WiFi สาธารณะขององค์กรใหญ่ที่มีเครื่องบางส่วนถูกแทรกแซงแล้วและสามารถทำการ ARP Spoofing และ DNS Spoofing เครื่องเหยื่อในวงเดียวเดียวกันได้
- คนร้ายเข้าแทรกแซง Local Router WiFi ได้แล้วจึงสามารถ Hijack DNS traffic ได้
สำหรับผู้ได้รับผลกระทบตอนนี้ Dell ได้ออกแพตช์มาเพื่ออุดช่องโหว่แล้วในเวอร์ชัน SupportAssist v3.2.0.90หรือสามารถดูวีดีโอสาธิตจากนักวิจัยได้ด้านล่าง
———————————————
ที่มา : Techtalk Thai / May 2, 2019
Link : https://www.techtalkthai.com/dell-supportassist-vulnerable-for-remote-code-execution/
