Cabecera-v2-web.jpg

Ordenadores Dell vulnerables por el software preinstalado


Se han reportado tres vulnerabilidades en ordenadores Dell que podrí­an permitir a atacantes desactivar protecciones de seguridad, elevar privilegios y ejecutar código arbitrario. Una vez más los problemas residen en el software propietario preinstalado por Dell.

El software propietario preinstalado por los fabricantes, también conocido como "bloatware", suele ser causa habitual de problemas junto con un consumo innecesario de espacio y recursos. Pero además, no suele estar exento de vulnerabilidades que pueden llegar a comprometer gravemente la seguridad de los sistemas.

Los problemas han sido anunciados por el investigador Marcin 'Icewall' Noga del equipo Cisco Talos y antiguo compañero de Hispasec. Los problemas se encuentran en el software de servicio Dell Precision Optimizer y en Invincea-X e Invincea Dell Protected Workspace.

Dell.png

El primer problema, con CVE-2016-9038, reside en una doble búsqueda en el controlador SboxDrv.sys. La vulnerabilidad se puede explotar mediante el enví­o de datos especí­ficos al controlador de dispositivo \Device\SandboxDriverApi que es accesible para todos como de lectura y escritura. Esto puede permitir la escritura de un valor arbitrario en el espacio de memoria del kernel, que puede conducir a la escalada de privilegios locales. Afecta a Invincea-X y Dell Protected Workspace 6.1.3-24058.

Por otra parte, con CVE-2016-8732, múltiples vulnerabilidades en uno de los componentes del controlador 'InvProtectDrv.sys' incluido en la versión 5.1.1-22303 de Invincea Dell Protected Workspace; una solución de seguridad ofrecida por Dell que pretende proporcionar una protección mejorada para los puntos finales. Los problemas residen en las débiles restricciones en el canal de comunicaciones del controlador, así­ como a una validación insuficiente. De forma que un atacante podrí­a aprovechar este controlador para desactivar algunos de los mecanismos de protección proporcionados por el software. Afecta a Invincea Dell Protected Workspace 5.1.1-22303. Esta vulnerabilidad está corregida en la versión 6.3.0 del software.

Por último, con CVE-2017-2802, un problema de carga de librerí­as en la aplicación Dell Precision Optimizer. Durante el arranque del servicio 'Dell PPO Service', incluido en la aplicación Dell Precision Optimizer, el programa 'c:\Archivos de programa\Dell\PPO\poaService.exe' carga la dll, 'c:\Archivos de programa\Dell\PPO\ati.dll'. Que a su vez intenta cargar 'atiadlxx.dll', que no está presente de forma predeterminada en el directorio de la aplicación. El programa buscará la DLL en los directorios especificados por la variable de entorno PATH. Si encuentra una dll con el mismo nombre, se cargará la dll en poaService.exe sin comprobar la firma de la dll. Esto puede llevar a la ejecución de código arbitrario si un atacante suministra una DLL malintencionada con el nombre correcto.

Afecta a Dell Precision Tower 5810 con tarjeta gráfica nvidia, PPO Policy Processing Engine (3.5.5.0), ati.dll (PPR Monitoring Plugin) (3.5.5.0). Dell ha publicado una actualización para solucionar este problema. Todas las versiones desde la v4.0 no son vulnerables.

No es la primera vez que ocurre algo así­, podemos recordar el caso Superfish en Lenovo y a la propia Dell con dos certificados raí­z preinstalados.


Fuente: hispasec.com


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11