据外媒 4 日报道,思科( Talos )安全专家发现预装软件漏洞使戴尔系统易遭代码执行攻击。黑客可利用该漏洞禁用安全机制、提权并以用户身份执行任意代码。
思科 Talos 专家表示,存在漏洞的预装软件为 Dell Precision Optimizer、InvinceaX 与 Invincea Dell Protected Workspace。目前,思科正为上述几款软件发布漏洞修复建议。相应数据包预装在戴尔系统特定版本中。
Protected Workspace 6.1.3-24058 Invincea-X 中存在的第一个漏洞 CVE-2016-9038 是 SboxDrv.sys 驱动程序中的 double fetch。黑客可以通过向设备驱动 \Device\SandboxDriverApi 发送特制数据获取开放读写权限。此外,黑客还可利用该问题在内核空间写入任意值、成功进行本地提权。第二个漏洞 CVE-2016-8732 对作为终端安全解决方案的 Invincea Dell Protected Workspace 5.1.1-22303 版本造成影响。调查显示,该漏洞存在于 5.1.1-22303 版本软件驱动组件 “ InvProtecDrv.sys ”。驱动通信信道的薄弱限制与无效验证允许黑客在受影响系统中执行的应用程序利用驱动禁用保护机制。目前,该问题已在 6.3.0 版本中得到修复。
第三个漏洞 CVE-2017-2802 关乎 Dell Precision Optimizer 应用,可导致任意代码执行,对采用 nVidia 显卡、PPO 策略处理引擎 3.5.5.0 与 ati.dll( PPR 显示器插件)3.5.5.0 的 Dell Precision Tower 5810 造成影响。Dell PPO 服务启动期间,Dell Precision Optimizer 应用提供的程序 “ c:\Program Files\Dell\PPO\poaService.exe ” 在加载 “ c:\Program Files\Dell\PPO\ati.dll ” 后尝试加载 “ atiadlxx.dll ”,后者在默认情况下不出现在应用目录。该程序在 PATH 环境变量指定目录中搜索恰当命名的 dll 文件。如果查找到采取相同命名的 dll,无需检查该 dll 签名即可将其加载至 poaService.exe。倘若黑客提供正确名称的恶意 dll 文件,则可能导致任意代码执行。
考虑到 Invincea Dell Protected Workspace 是部署在高安全环境中用于保护工作站的常见应用,上述漏洞影响重大。Talos 建议使用受感染版本软件的组织机构尽快将软件升级至最新版本。无论如何都应在访问任何预装软件时持谨慎态度,避免漏洞被黑客利用。
原作者:Pierluigi Paganini,译者:游弋
from hackernews.cc.thanks for it.