En ocasiones las herramientas incluidas por defecto en un dispositivo tecnológico pueden causar más problemas que una amenaza externa, como ha ocurrido a Dell. La compañía tecnológica reveló que una vulnerabilidad detectada en SupportAssist, un programa preinstalado para la corrección de problemas; acorde a especialistas en seguridad en redes, la explotación de esta falla podría permitir a un hacker local cargar archivos maliciosos con privilegios de administrador.
En su reporte, Dell menciona que un usuario con privilegios mínimos autenticado de forma local podría explotar la vulnerabilidad para cargar archivos DLL arbitrarios mediante los binarios de SupportAssist, lo que desencadenaría una ejecución de malware con altos privilegios en el sistema objetivo.
Esta herramienta funciona como un escáner de malware presente en el hardware y software del sistema; en caso de detectar un problema, se envía información a Dell para iniciar un proceso de resolución de problemas. Posteriormente, SupportAssist intenta cargar una DLL desde un directorio en el que cualquier usuario sin privilegios de administrador puede escribir.
Los expertos en seguridad en redes aseguran que esta clase de errores son comunes, aunque a diferencia de este caso, la mayoría requiere de privilegios de administrador en el sistema expuesto para su explotación: “Un actor de amenazas sin privilegios puede escribir una DLL que Dell SupportAssist podría cargar, obteniendo la ejecución del código dentro del software que se ejecuta con los privilegios NT AUTHORITY\System“, menciona Eran Shimony, investigador encargado de la elaboración del reporte sobre esta falla.
La vulnerabilidad, identificada como CVE-2020-5316, es considerada “de alta gravedad”, e impacta a SupportAssist empresarial v2.1.3, así como a SupportAssist de uso doméstico v3.4 y anteriores. La compañía ya ha abordado las vulnerabilidades; los usuarios deben actualizar a la versión 3.4.1 para mitigar el riesgo de explotación.
Como se menciona al inicio del artículo, la explotación de esta falla requiere acceso local, por lo que un potencial atacante deberá iniciar sesión en la red, lo que incrementa la complejidad del ataque, mencionan los expertos en seguridad en redes. Sin embargo, si el actor de amenazas logra ingresar a la red, se podría comprometer completamente el dispositivo objetivo, por lo que los administradores de dispositivos expuestos no deben dejar pasar las actualizaciones de esta herramienta de seguridad.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.