В утиліті Dell SupportAssist, що призначена для налагодження, діагностики та автоматичного оновлення драйверів, виявлена небезпечна уразливість (CVE-2019-3719), що дозволяє віддалено виконати код з привілеями адміністратора на комп’ютерах і лептопах Dell.
За оцінками експертів, проблема зачіпає значну кількість пристроїв, оскільки інструмент Dell SupportAssist встановлено на всіх ПК і ноутбуках Dell, що поставляються з ОС Windows (системи, які продаються без ОС, до уразливості не схильні).
За словами дослідника з безпеки Білла Деміркапі (Bill Demirkapi), який знайшов баг, за певних обставинах CVE-2019-3719 надає можливість з легкістю перехопити контроль над уразливими пристроями. Для цього зловмисникові потрібно заманити жертву на шкідливий сайт, що містить код JavaScript, який змушує Dell SupportAssist завантажити і запустити шкідливі файли на системі. Оскільки інструмент працює з правами адміністратора, хакер отримає повний доступ до цільового пристрою.
Як пояснив дослідник, для того щоб отримати можливість віддалено виконати код, зловмисникові потрібно здійснити ARP- і DNS-спуфінг атаки на комп’ютері жертви. Деміркапі привів два можливих сценарії: перший передбачає наявність доступу до публічних Wi-Fi мереж або великих корпоративних мереж, де щонайменше один пристрій може використовуватися для ARP- і DNS-спуфінг атак, а другий передбачає компрометацію локального маршрутизатора і модифікацію DNS-трафіку безпосередньо на пристрої.
Компанія Dell вже усунула уразливість з випуском нової версії Dell SupportAssist – 3.2.0.90. , Яку власникам вразливих пристроїв Dell рекомендується встановити якомога швидше.
Деміркапі розмістив на порталі GitHub PoC-код для експлуатації уразливості, а також опублікував відео, яке демонструє атаку в дії.
Нагадаємо, про чергову хвилю фішингу Facebook-сторінок українських громадських організації заявляють фахівці Лабораторії цифрової безпеки.
Також згідно з даними Відомства з патентів і товарних знаків США, яке опублікувало новий патент Apple, у Купертіно працюють над технологією позиціонування для iPhone, що функціонує на основі датчиків газів,
Окрім цього, у викраденні 2,2 мільйона гривень благочинних коштів через доступ до банківських рахунків та злам сторінок у соціальних мережах викрили 30-річного мешканця Кіровоградщини.
