13 de julio de 2017

DELL. Ordenadores vulnerables por software preinstalado

Se han reportado tres vulnerabilidades en ordenadores Dell que podrían permitir a atacantes desactivar protecciones de seguridad, elevar privilegios y ejecutar código arbitrario. Una vez más los problemas residen en el software propietario preinstalado por Dell.
El software propietario preinstalado por los fabricantes, también conocido como "bloatware", suele ser causa habitual de problemas junto con un consumo innecesario de espacio y recursos. Pero además, no suele estar exento de vulnerabilidades que pueden llegar a comprometer gravemente la seguridad de los sistemas.
Los problemas han sido anunciados por el investigador Marcin 'Icewall' Noga del equipo Cisco Talos y antiguo compañero de Hispasec. Los problemas se encuentran en el software de servicio Dell Precision Optimizer y en Invincea-X e Invincea Dell Protected Workspace.
Vulnerability Spotlight: Dell Precision Optimizer and Invincea Vulnerabilities https://t.co/qiYFzqpA0i
— Talos Group (@TalosSecurity) 30 de junio de 2017
El primer problema, con CVE-2016-9038, reside en una doble búsqueda en el controlador SboxDrv.sys. La vulnerabilidad se puede explotar mediante el envío de datos específicos al controlador de dispositivo \Device\SandboxDriverApi que es accesible para todos como de lectura y escritura. Esto puede permitir la escritura de un valor arbitrario en el espacio de memoria del kernel, que puede conducir a la escalada de privilegios locales. Afecta a Invincea-X y Dell Protected Workspace 6.1.3-24058.
Por otra parte, con CVE-2016-8732, múltiples vulnerabilidades en uno de los componentes del controlador 'InvProtectDrv.sys' incluido en la versión 5.1.1-22303 de Invincea Dell Protected Workspace; una solución de seguridad ofrecida por Dell que pretende proporcionar una protección mejorada para los puntos finales. Los problemas residen en las débiles restricciones en el canal de comunicaciones del controlador, así como a una validación insuficiente. De forma que un atacante podría aprovechar este controlador para desactivar algunos de los mecanismos de protección proporcionados por el software. Afecta a Invincea Dell Protected Workspace 5.1.1-22303. Esta vulnerabilidad está corregida en la versión 6.3.0 del software.
Por último, con CVE-2017-2802, un problema de carga de librerías en la aplicación Dell Precision Optimizer. Durante el arranque del servicio 'Dell PPO Service', incluido en la aplicación Dell Precision Optimizer, el programa 'c:\Archivos de programa\Dell\PPO\poaService.exe' carga la dll, 'c:\Archivos de programa\Dell\PPO\ati.dll'. Que a su vez intenta cargar 'atiadlxx.dll', que no está presente de forma predeterminada en el directorio de la aplicación. El programa buscará la DLL en los directorios especificados por la variable de entorno PATH. Si encuentra una dll con el mismo nombre, se cargará la dll en poaService.exe sin comprobar la firma de la dll. Esto puede llevar a la ejecución de código arbitrario si un atacante suministra una DLL malintencionada con el nombre correcto.
Afecta a Dell Precision Tower 5810 con tarjeta gráfica nvidia, PPO Policy Processing Engine (3.5.5.0), ati.dll (PPR Monitoring Plugin) (3.5.5.0). Dell ha publicado una actualización para solucionar este problema. Todas las versiones desde la v4.0 no son vulnerables.
No es la primera vez que ocurre algo así, podemos recordar el caso Superfish en Lenovo y a la propia Dell con dos certificados raíz preinstalados.
Más Información:
      Vulnerability Spotlight: Dell Precision Optimizer and Invincea Vulnerabilities http://blog.talosintelligence.com/2017/06/vulnerability-spotlight-dell-precision.html
Fuente: Hispasec