Sei un cliente Dell? Essere attenti come i ricercatori hanno scoperto che Talos software pre-installato di Dell contiene vulnerabilità che potrebbero consentire agli hacker di disabilitare i programmi di sicurezza. I difetti potrebbero anche portare ad un'escalation di attacchi di privilegio.
Più specificamente, tre vulnerabilità distinte sono stati rinvenuti che colpisce specifici sistemi Dell. I clienti sono invitati ad applicare immediatamente le patch. "Talos sono rilasciando avvisi di vulnerabilità nel software di servizio di applicazione Dell Precision Optimizer, Invincea-X e Invincea Dell Protected Workspace,”Hanno detto i ricercatori.
CVE-2016-9038 Descrizione
La vulnerabilità è una scalata di privilegi, ed esiste nel driver SboxDrv.sys.
Il difetto è un doppio recuperare nel SboxDrv.sys autista. Si è innescato con l'invio dei dati predisposto al \Device SandboxDriverApi driver di periferica che è di lettura / scrittura accessibile a tutti. In caso di successo, un valore arbitrario viene scritto kernel spazio di memoria, che possono poi portare a escalation di privilegi locali.
dispositivi vulnerabili sono noti: Invincea-X, Dell Protected Workspace 6.1.3-24058.
CVE-2016-8732 Descrizione
Il prossimo pecca è CVE-2016-8732 e si trova all'interno dell'area di lavoro Invincea Dell Protetta, una soluzione di sicurezza da Dell che dovrebbe fornire una migliore protezione per i dispositivi endpoint. Tuttavia, Talos è situato difetti multipli all'interno di uno dei componenti driver – InvProtectDrv.sys – incluso nella versione 5.1.1-22303. "A causa di restrizioni deboli sul canale di comunicazione del driver, nonché convalida insufficiente, un'applicazione malintenzionato controllata che viene eseguito in un sistema interessato potrebbe sfruttare questo driver per eliminare efficacemente alcuni dei meccanismi di protezione forniti dal software,”Talos spiega.
Il difetto è stato risolto nel 6.3.0 release del software.
CVE-2017-2802 Descrizione
La vulnerabilità è del tipo di protezione di bypass, che colpisce la Dell PPO servizio che fa parte dell'applicazione Dell Precision Optimizer. Durante l'inizio di Dell PRO Servizio, il programma c:\Programmi Dell PPO poaService.exe carica il c:\Programmi Dell PPO ati.dll di file. Poi l'atiadlxx.dll si cerca di caricare, che non è presente di default nella cartella app.
Il programma tenta quindi di individuare un dll nome appropriato nelle directory specificate dalla variabile d'ambiente PATH, Talos spiega. Se tale dll si trova, esso viene caricato dentro poaService.exe senza controllare la firma del file. Questa azione può causare l'esecuzione di codice arbitrario nel caso un utente malintenzionato fornisce una DLL dannoso con il nome corretto.
Una patch è stata rilasciata da Dell. Versioni da v4.0 in poi non sono vulnerabili.
Tutte le parti interessate sono invitati ad aggiornare il prima possibile.