[En]Der auf vielen Dell-Systemen vorinstallierte PC-Doctor SupportAssist weist eine schwere Sicherheitslücke auf, die eine Rechteauswertung erlaubt. Die Komponente steckt auch in Produkten von Corsair, Staples und Tobi. Dell hat ein Update freigegeben.
Anzeige
Ich wurde bereits von einigen Tagen durch Blog-Leser Leon aus Griechenland auf das Thema hingewiesen. Leon hatte mir den Link zu dieser Webseite mitgeschickt. Zum Wochenende haben sich weitere Blog-Leser mit ähnlichen Hinweisen gemeldet. Vielen Dank für die Informationen. Leider bin ich bisher nicht dazu gekommen, das Thema aufzubereiten.
Hintergrund: PC-Doctor Toolbox for Windows
Der PC-Doctor SupportAssist ist eine umgebrandete Komponente der PC-Doctor Toolbox for Windows. Diese Software ist auf dieser Webseite herunterladbar, und enthält diverse Funktionen zur Überwachung eines PCs. Liest man sich die Funktionsbeschreibung durch, ist das Ganze 'das Ei des Columbus'. Ich selbst würde es aber als 'Schlangenöl' bezeichnen, welches als Universal-Lösung angepriesen, aber nicht wirklich gebraucht wird.
Aber diverse OEMs wie z.B. Dell liefern diese Toolbox oder Komponenten davon – teilweise unter etwas abgewandeltem Namen – auf ihren Systemen mit aus. Die Komponenten, die Dells SupportAssist den Zugriff auf sensible Low-Level-Hardware (wie physischer Speicher, PCI und SMBios) ermöglichen, stammen aus der PC-Doctor Toolbox und wurden von der Firma PC-Doctor geschrieben. Auch Produkte von Corsair, Staples und Tobi beinhalten diese PC-Doctor Toolbox for Windows oder zumindest Komponenten davon.
Dell SupportAssist
Dell SupportAssist ist eine Software, die aus der oben erwähnten PC-Doctor Toolbox stammt und auf den meisten Dell-PCs vorinstalliert ist. Die Software überprüft proaktiv den Zustand der Hard- und Software des Systems. Diese 'Gesundheitschecks' bestimmter Systemkomponenten erfordert Berechtigungen auf einer hohen Berechtigungsstufe – sprich: Es sind Administratorrechte erforderlich. Um mit Aktionen auszuführen, die hohe Berechtigungen erfordern, wird zusätzlich zu mehreren Diensten, die als SYSTEM ausgeführt werden, ein signierter Treiber installiert. So viel als Vorbemerkungen zum Thema.
SafeBreach findet gravierende Schwachstelle
Solche Konstruktionen wecken natürlich das Interesse diverser Sicherheitsforscher, darunter auch Peleg Hadar, von den SafeBreach Labs. Im ersten Ansatz hat er sich auf die betreffenden Dienste konzentriert, wie er auf dieser Webseite schreibt. Speziell der Dienst "Dell Hardware Support" ist kritisch, da er einen Zugriff auf die PC-Hardware mit hoher Berechtigungsstufe ermöglicht und über die Möglichkeit verfügt, eine Privilegien-Eskalation einzuleiten.
Nachdem der Dell Hardware-Supportdienst gestartet wurde, führt er das Programm DSAPI.exe aus, das wiederum pcdrwi.exe startet. Beide Prozesse laufen dann mit der Berechtigungsstufe SYSTEM. Als nächstes führt der Dienst zahlreiche PC-Doctor-Programme aus, die Informationen über das Betriebssystem und die Hardware des Computers sammeln. Diese ausführbaren Dateien sind eigentlich normale PE-Dateien, haben aber eine andere Erweiterung – "p5x".
Alle diese ausführbaren Dateien laden DLL-Bibliotheken, die die Möglichkeit haben, Informationen aus verschiedenen Quellen (Software und Hardware) zu sammeln. Nachdem die Bibliotheken geladen waren, haben die Sicherheitsforscher per ProcMon folgendes festgestellt:
Anzeige
Drei der p5x-Executables versuchen die folgenden DLL-Dateien im Zweig c:\python27 (steckt in der PATH-Umgebungsvariablen) aufzurufen:
- LenovoInfo.dll
- AlienFX.dll
- atiadlxx.dll
- atiadlxy.dll
An dieser Stelle braucht man eigentlich kaum mehr weiter zu lesen – denn diese Konstruktion, die geradezu nach DLL-Hijacking schreit, habe ich in diversen Blog-Beiträgen in anderem Zusammenhang thematisiert. Stefan Kanthak hat dieses Konstrukt, welches eine potentielle Schwachstelle darstellen, in vielen Software-Paketen festgestellt und mir ein Testbett zum Ermitteln solcher Schwachstellen (Aufruf abhängiger DLLs) zur Verfügung gestellt. Peleg Hadar, von den SafeBreach Labs schreibt dazu, dass er das Ganze in einer VM untersucht habe. Dabei wurden gravierende Anfängerfehler, die die Entwickler der PC-Doctor-Tools gemacht haben, festgestellt.
Das Verzeichnis c:\python27 wies in der Testumgebung eine ACL auf, die es jedem authentifizierten Benutzer erlaubt, Dateien in diesen Ordner zu schreiben. Dies macht eine Privilegien-Erweiterung zum Kinderspiel. Denn das ermöglicht es einem normalen Benutzer (und damit auch dort laufende Malware), eine DLL-Datei in diesen Ordner zu speichern. Er muss nur eine der oben erwähnten DLL-Dateien mit einer eigenen DLL gleichen Namens überschreiben. Sobald die Tools des PC-Doctor aufrufen werden, führen diese die manipulierte DLL mit den Berechtigungen von SYSTEM aus. Die DLL hat dann die Kontrolle über das System und kann beliebige Aktionen durchführen.
Der Beitrag von den SafeBreach Labs enthält noch weitere Analysen, die interne Zusammenhänge der PC-Doctor-Tools erläutern. Im Grund lässt sich das alles aber auf einen gemeinsamen Nenner bringen: Das Ganze ist großer Mist und sollte pronto vom System deinstalliert werden. Am Ende des Beitrags werden auch andere betroffene Softwareprodukte wie CORSAIR Diagnostics, Tobii I-Series Diagnostic Tool etc. genannt.
Blog Al-CiD hat mir Sonntag den Link zu einem Dell-Sicherheitshinweis geschickt. Unter DSA-2019-084: Dell SupportAssist for Business PCs and Dell SupportAssist for Home PCs Security Update for PC Doctor Vulnerability wird die Schwachstelle CVE-2019-12280 beschrieben. Diese wurde in der Gefährlichkeit als Hoch klassifiziert und betrifft folgende Dell-Software.
- Dell SupportAssist for Business PCs version 2.0
- Dell SupportAssist for Home PCs version 3.2.1 und vorherige Versionen
Dell gibt an, dass folgenden Versionen von Dell SupportAssist für Geschäftssysteme und Dell SupportAssist für Heim-PCs eine Lösung für das Problem beinhalten:
- Dell SupportAssist für Business-PCs Version 2.0.1
- Dell SupportAssist für Heim-PCs Version 3.2.2.2
Dell empfiehlt allen Kunden, die Updates (per Auto-Update oder manuell) so schnell wie möglich durchzuführen. The Hacker News und heise haben ebenfalls Beiträge zum Thema veröffentlicht.
Meine Empfehlung wäre, dieses Schlangenöl so schnell als möglich vom System zu putzen (sofern möglich). Hintergrund dieser Aussage: Einmal habe ich auf meinen Systemen so etwas bisher nie gebraucht. Zum Zweiten gehe ich davon aus, dass man schlicht die ACL-Einstellungen nur so angepasst hat, dass Zugriffe auf den Ordner nicht mehr für jeden Nutzer möglich sind. Welche Schwachstellen (auch im Hinblick auf DLL-Hijacking) da weiterhin lauern, ist unklar. Erst kürzlich hatte Dell den SupportAssist wegen einer Remote angreibaren Lücken aktualisieren müssen (siehe Dell-Rechner: RCE-Sicherheitslücke im SupportAssist Client).
Ähnliche Artikel:
Dell-Rechner: RCE-Sicherheitslücke im SupportAssist Client
Dell Encryption scheitert unter Windows seit März 2019
Möglicher Hack: Dell setzt Kundenpasswörter zurück
Dell: Neues BIOS verursacht Bitlocker-Probleme
Lenovo: 3,5 Millionen $ Strafe für Superfish-Adware
Lenovo zahlt 7,3 Millionen US-Dollar für Adware-Installation
Windows 10: Update-Ärger mit HP HIDClass-Treibern
Probleme mit HP Sure Click unter Windows 10
Neuer Keylogger in HP-Notebook-Synaptics Treibern gefunden
HP installiert heimlich HP Touchpoint Analytics Client-Telemetriedatenprogramm
Lenovo ThinkPad: UEFI-Einstellungen bricken Geräte
2015
Wenn das Tool nicht benötigt wird, verdient es also nur die Bezeichnung Bloatware.
Auf ein gutes Image scheint Dell nicht viel Wert zu legen.
Seit Edward Snowden ist die Welt hoch sensibilisiert, was derlei und gleich geartete Dinge anbelangt. Dell konnte also nicht davon ausgehen, dass ihr Mist niemals auffliegt.
Dann braucht sich Niemand wundern, wenn die Nutzer sogar gegen Telemetriedaten sind.
Schlampigkeit, Rücksichtslosigkeit und Verkommenheit kennt kaum noch Grenzen.
Es ist wirklich ein Grausen, wenn man Nichts und Niemand mehr vertrauen kann.
Leider ist es keine Software, die nie gebraucht wird. Unbedarfte Nutzer, die mit Service Tags und Treiberupdates nichts anfangen können, kommen um Dells Support Assist nicht herum. Wer für Treiber Updates den Service TAG und somit das spezifische System von Dell ermitteln lässt, muss zuvor den Support Assist installieren. Auch Hardwaretest, via Dells Webseite, laufen neuerdings via Support Assist, wenn ich mich nicht irre. Das kann Dells Command update nicht vollführen, das aber immerhin für die passenden Treiber sorgt.
In Punkto Treiberaktualisierung war das Tool anfangs dem Dell Command update überlegen. Das hat sich in den letzten Monaten nach meiner Einschätzung egalisiert. Command Update kommt dafür ohne den unnötigen Optimierungsschnickschnack aus.
Noch dazu macht es Dell einem Anwender nicht gerade einfach, indem es irgendwelche Änderungen an der Treiberbeschreibung mit einer Aktualisierung gleichsetzt und dadurch die längst installierten Treiber in der Agenda nach oben hievt. Sieht man sich die Beschreibung des Updates an, stellt man nicht selten fest, dass es sich um Monate alte Treiber handelt.
Mein PC ist ein Dell. Der ominöse Doctor hat sich jedoch noch nicht bei mir sehen lassen. Das Interesse an einem Kennenlernen hält sich auch in Grenzen.