Se han reportado tres vulnerabilidades
en ordenadores Dell que podrían permitir a atacantes desactivar protecciones de
seguridad, elevar privilegios y ejecutar código arbitrario. Una vez más los
problemas residen en el software propietario preinstalado por Dell.
El software propietario preinstalado
por los fabricantes, también conocido como "bloatware", suele ser
causa habitual de problemas junto con un consumo innecesario de espacio y
recursos. Pero además, no suele estar exento de vulnerabilidades que pueden
llegar a comprometer gravemente la seguridad de los sistemas.
Los problemas han sido anunciados por
el investigador Marcin 'Icewall' Noga del equipo Cisco Talos y antiguo
compañero de Hispasec. Los problemas se encuentran en el software de servicio
Dell Precision Optimizer y en Invincea-X e Invincea Dell Protected Workspace.
Vulnerability
Spotlight: Dell Precision Optimizer and Invincea Vulnerabilities
https://t.co/qiYFzqpA0i
— Talos Group
(@TalosSecurity) 30 de junio de 2017
El primer problema, con CVE-2016-9038,
reside en una doble búsqueda en el controlador SboxDrv.sys. La vulnerabilidad
se puede explotar mediante el envío de datos específicos al controlador de
dispositivo \Device\SandboxDriverApi que es accesible para todos como de
lectura y escritura. Esto puede permitir la escritura de un valor arbitrario en
el espacio de memoria del kernel, que puede conducir a la escalada de
privilegios locales. Afecta a Invincea-X y Dell Protected Workspace
6.1.3-24058.
Por otra parte, con CVE-2016-8732,
múltiples vulnerabilidades en uno de los componentes del controlador
'InvProtectDrv.sys' incluido en la versión 5.1.1-22303 de Invincea Dell
Protected Workspace; una solución de seguridad ofrecida por Dell que pretende
proporcionar una protección mejorada para los puntos finales. Los problemas residen
en las débiles restricciones en el canal de comunicaciones del controlador, así
como a una validación insuficiente. De forma que un atacante podría aprovechar
este controlador para desactivar algunos de los mecanismos de protección
proporcionados por el software. Afecta a Invincea Dell Protected Workspace
5.1.1-22303. Esta vulnerabilidad está corregida en la versión 6.3.0 del
software.
Por último, con CVE-2017-2802, un
problema de carga de librerías en la aplicación Dell Precision Optimizer.
Durante el arranque del servicio 'Dell PPO Service', incluido en la aplicación
Dell Precision Optimizer, el programa 'c:\Archivos de
programa\Dell\PPO\poaService.exe' carga la dll, 'c:\Archivos de
programa\Dell\PPO\ati.dll'. Que a su vez intenta cargar 'atiadlxx.dll', que no
está presente de forma predeterminada en el directorio de la aplicación. El
programa buscará la DLL en los directorios especificados por la variable de
entorno PATH. Si encuentra una dll con el mismo nombre, se cargará la dll en
poaService.exe sin comprobar la firma de la dll. Esto puede llevar a la
ejecución de código arbitrario si un atacante suministra una DLL
malintencionada con el nombre correcto.
Afecta a Dell Precision Tower 5810 con
tarjeta gráfica nvidia, PPO Policy Processing Engine (3.5.5.0), ati.dll (PPR
Monitoring Plugin) (3.5.5.0). Dell ha publicado una actualización para
solucionar este problema. Todas las versiones desde la v4.0 no son vulnerables.
No es la primera vez que ocurre algo
así, podemos recordar el caso Superfish en Lenovo y a la propia Dell con dos
certificados raíz preinstalados.
Más Información:
• Vulnerability
Spotlight: Dell Precision Optimizer and Invincea Vulnerabilities http://blog.talosintelligence.com/2017/06/vulnerability-spotlight-dell-precision.html
Fuente: Hispasec