Sicherheitslücke macht Dell-PCs für Remote-Hijacking-Angriffe anfällig

SicherheitWorkspace
Dell (Bild: Dell)

Eine Sicherheitslücke in einer von Dell vorinstallierten Software macht Computer und Laptops des US-Unternehmens anfällig für Hackerangriffe. Ein Angreifer muss sein Opfer nur auf eine speziell gestaltete Website locken.

Die Sicherheitslücke steckt im Tool Dell SupportAssist, das es einem Angreifer unter Umständen erlaubt, aus der Ferne die vollständige Kontrolle über ein System zu übernehmen. Seit dem 23. April steht zwar ein Update für die Support-Software zur Verfügung, es sind aber nur Nutzer geschützt, die das Tool seitdem auch aktualisiert haben. Die Zahl der Betroffenen wird als sehr hoch eingeschätzt, da SupportAssist auf allen von Dell mit Windows-Betriebssystem ausgelieferten PCs ab Werk eingerichtet ist. Nutzer von Dell-Produkten sollten prüfen, welche Version des SupportAssist-Tools auf ihren Rechnern installiert ist. Vor den Angriffen geschützt sind sie ab der Version 3.2.0.90.

Dell (Bild: Dell)

Die Schwachstelle mit der Kennung CVE-2019-3719 wurde vom 17-jährigen Sicherheitsforscher Bill Demirkapi entdeckt. Demnach muss ein Nutzer lediglich auf eine speziell gestaltete Website gelockt werden, die das SupportAssist-Tool mithilfe von JavaScript dazu bringt, von einem vom Angreifer vorgegebenen Ort Dateien herunterzuladen und auszuführen. Da das Dell-Tool über Administratorrechte verfügt, hat ein Angreifer die vollständige Kontrolle über ein System.

Der Angreifer muss sich jedoch allerdings im selben Netzwerk wie sein Opfer befinden und einen ARP-Spoofing-Angriff mit einem DNS-Spoofing-Angriff verbinden. Eine Attacke ist beispielsweise über ein öffentliches WLAN möglich oder auch über einen kompromittierten PC innerhalb eines Firmennetzwerks. Denkbar wäre aber auch ein Szenario, in dem ein Hacker die Kontrolle über einen lokalen WLAN-Router übernimmt, um dann den DNS-Verkehr zu übernehmen und so die Schwachstelle in SupportAssist auszunutzen.

Demirkapi weist zudem darauf hin, dass der Angriff darüber hinaus keine Interaktion mit einem Nutzer erfordert. Zudem sei es möglich, den JavaScript-Code für den eigentlichen Angriff in Anzeigen auf legitimen Websites zu verstecken.

Beispielcode für einen Exploit, der die von Demirkapi entdeckte Lücke ausnutzt, ist auf GitHub verfügbar. In einem Youtube-Video zeigt er zudem den Ablauf. Weitere Details finden sich im Blog von Demirkapi.

Lesen Sie auch :