Bent u een Dell-klant? Wees alert als Talos onderzoekers hebben ontdekt dat Dell vooraf geïnstalleerde software bevat kwetsbaarheden waardoor aanvallers beveiligingsprogramma's uitschakelen. De gebreken kan ook leiden tot escalatie van privileges aanvallen.
Specifieker, drie afzonderlijke kwetsbaarheden zijn opgegraven van invloed zijn specifieke Dell-systemen. Klanten wordt aangeraden om patches onmiddellijk van toepassing. "Talos zijn vrijgeven advisories voor kwetsbaarheden in de Dell Precision Optimizer application service software, Invincea-X en Invincea Dell Protected Workspace,”Onderzoekers zeiden.
CVE-2016-9038 Beschrijving
De kwetsbaarheid is een privilege escalatie één, en bestaat in de SboxDrv.sys driver.
De fout is dubbel halen in de SboxDrv.sys bestuurder. Het wordt veroorzaakt door het verzenden van bewerkte data naar het \Device SandboxDriverApi device driver die lezen / schrijven voor iedereen toegankelijk. In geval van een succesvolle, een willekeurige waarde geschreven naar geheugen kernel, die vervolgens kunnen leiden tot lokale privilege escalatie.
Bekende kwetsbare inrichtingen: Invincea-X, Dell Protected Workspace 6.1.3-24058.
CVE-2016-8732 Beschrijving
De volgende fout is CVE-2016-8732 en is gelegen binnen de Invincea Dell Protected Workspace, een beveiligingsoplossing van Dell die betere bescherming van endpoint-apparaten moeten bieden. Echter, Talos heeft zich meerdere gebreken binnen één van de onderdelen chauffeur – InvProtectDrv.sys – opgenomen in versie 5.1.1-22303. "Vanwege de zwakke beperkingen op de bestuurder communicatiekanaal, alsmede ontoereikende validatie, een aanvaller gecontroleerde toepassing die wordt uitgevoerd op een getroffen systeem kan deze driver inzetten om effectief een aantal van de mechanismen die bescherming die door de software uit te schakelen,”Talos legt.
De fout is opgelost in de 6.3.0 release van de software.
CVE-2017-2802 Beschrijving
De kwetsbaarheid is van de bescherming bypass soort, die invloed op de Dell PPO dienst die deel uitmaakt van de Dell Precision Optimizer toepassing. Tijdens de start van Dell Pro-service, het programma c:\Program Files Dell PPO poaService.exe laadt de c:\Program Files Dell PPO ati.dll bestand. Vervolgens wordt geprobeerd de atiadlxx.dll te laden, dat is niet standaard aanwezig in de app directory.
Het programma probeert vervolgens om een passende naam dll in de door de variabele PATH directories te lokaliseren, Talos verklaart. Als zo'n dll zich bevindt, zal het in geladen poaService.exe zonder de handtekening van het bestand te controleren. Deze actie kan uitvoeren van willekeurige code veroorzaken bij een aanvaller levert een kwaadaardige dll waarop de juiste.
Een patch is vrijgegeven door Dell. Versies v4.0 verder niet kwetsbaar.
Alle betrokken partijen worden aangespoord om zo snel mogelijk bij te werken.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: