Você é um cliente Dell? Esteja alerta como pesquisadores Talos descobriram que o software pré-instalado da Dell contém vulnerabilidades que poderiam permitir que invasores programas de segurança desativar. As falhas também poderia levar a uma escalada de ataques de privilégio.
Mais especificamente, três vulnerabilidades separadas foram descobertas afetando sistemas Dell específicos. Os clientes são aconselhados a aplicar patches imediatamente. “Talos são libertando recomendações para vulnerabilidades no software de serviço de aplicativo Dell Precision Optimizer, Invincea-X e Invincea Dell Protected Workspace,Pesquisadores disseram.
Descrição CVE-2016-9038
A vulnerabilidade é uma escalada de privilégios, e existe no driver SboxDrv.sys.
A falha é uma busca dupla no SboxDrv.sys motorista. É acionado pelo envio de dados elaborados para o \Device SandboxDriverApi driver de dispositivo que é acessível para leitura / gravação para todos. Em caso de sucesso, um valor arbitrário é gravado no espaço de memória do kernel, o que pode levar ao aumento de privilégios locais.
Dispositivos vulneráveis conhecidos são: Invincea-X, Dell Protected Workspace 6.1.3-24058.
Descrição CVE-2016-8732
A próxima falha é CVE-2016-8732 e está localizada no Invincea Dell Protected Workspace, uma solução de segurança da Dell que deve fornecer proteção aprimorada para dispositivos endpoint. Contudo, Talos localizou várias falhas em um dos componentes do driver – InvProtectDrv.sys – incluído na versão 5.1.1-22303. “Devido a restrições fracas no canal de comunicação do motorista, bem como validação insuficiente, um aplicativo controlado por invasor executado em um sistema afetado pode aproveitar este driver para desativar efetivamente alguns dos mecanismos de proteção fornecidos pelo software,”Talos explica.
A falha foi corrigida no 6.3.0 lançamento do software.
Descrição CVE-2017-2802
A vulnerabilidade é do tipo bypass de proteção, que afeta o serviço PPO da Dell que faz parte do aplicativo Dell Precision Optimizer. Durante o início do serviço Dell PRO, o programa c:\Arquivos de programa Dell PPO poaService.exe carrega o c:\Arquivos de programas Dell PPO arquivo ati.dll. Em seguida, o atiadlxx.dll é tentado a carregar, que não está presente por padrão no diretório do aplicativo.
O programa então tenta localizar uma dll nomeada apropriadamente nos diretórios especificados pela variável de ambiente PATH, Talos explica. Se tal dll for localizada, vai carregá-lo em poaService.exe sem verificar a assinatura do arquivo. Esta ação pode causar a execução de código arbitrário no caso de um invasor fornecer uma dll maliciosa com o nome correto.
Um patch foi lançado pela Dell. As versões da v4.0 em diante não são vulneráveis.
Todas as partes afetadas devem atualizar o mais rápido possível.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: