{"id":219696,"date":"2019-06-24T13:23:55","date_gmt":"2019-06-24T11:23:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=219696"},"modified":"2023-11-18T21:58:47","modified_gmt":"2023-11-18T20:58:47","slug":"schwere-sicherheitslcke-in-dells-pc-doctor-assistant","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/06\/24\/schwere-sicherheitslcke-in-dells-pc-doctor-assistant\/","title":{"rendered":"Schwere Sicherheitsl&uuml;cke in Dells PC-Doctor-Assistant"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2019\/06\/26\/serious-vulnerability-in-dells-pc-doctor-assistant\/\" target=\"_blank\" rel=\"noopener noreferrer\">En<\/a>]Der auf vielen Dell-Systemen vorinstallierte PC-Doctor SupportAssist weist eine schwere Sicherheitsl\u00fccke auf, die eine Rechteauswertung erlaubt. Die Komponente steckt auch in Produkten von Corsair, Staples und Tobi. Dell hat ein Update freigegeben.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/1c582e08b26f4fe589c3d2ecd762c790\" alt=\"\" width=\"1\" height=\"1\" \/>Ich wurde bereits von einigen Tagen durch Blog-Leser Leon aus Griechenland auf das Thema hingewiesen. Leon hatte mir den Link zu <a href=\"https:\/\/web.archive.org\/web\/20210115220424\/https:\/\/safebreach.com\/Post\/OEM-Software-Puts-Multiple-Laptops-At-Risk\" target=\"_blank\" rel=\"noopener noreferrer\">dieser Webseite<\/a> mitgeschickt. Zum Wochenende haben sich weitere Blog-Leser mit \u00e4hnlichen Hinweisen gemeldet. Vielen Dank f\u00fcr die Informationen. Leider bin ich bisher nicht dazu gekommen, das Thema aufzubereiten.<\/p>\n<h2>Hintergrund: PC-Doctor Toolbox for Windows<\/h2>\n<p>Der PC-Doctor SupportAssist ist eine umgebrandete Komponente der PC-Doctor Toolbox for Windows. Diese Software ist auf dieser Webseite herunterladbar, und enth\u00e4lt diverse Funktionen zur \u00dcberwachung eines PCs. Liest man sich die Funktionsbeschreibung durch, ist das Ganze 'das Ei des Columbus'. Ich selbst w\u00fcrde es aber als 'Schlangen\u00f6l' bezeichnen, welches als Universal-L\u00f6sung angepriesen, aber nicht wirklich gebraucht wird.<\/p>\n<p>Aber diverse OEMs wie z.B. Dell liefern diese Toolbox oder Komponenten davon \u2013 teilweise unter etwas abgewandeltem Namen \u2013 auf ihren Systemen mit aus. Die Komponenten, die Dells SupportAssist den Zugriff auf sensible Low-Level-Hardware (wie physischer Speicher, PCI und SMBios) erm\u00f6glichen, stammen aus der PC-Doctor Toolbox und wurden von der Firma PC-Doctor geschrieben. Auch Produkte von Corsair, Staples und Tobi beinhalten diese PC-Doctor Toolbox for Windows oder zumindest Komponenten davon.<\/p>\n<h2>Dell SupportAssist<\/h2>\n<p>Dell SupportAssist ist eine Software, die aus der oben erw\u00e4hnten PC-Doctor Toolbox stammt und auf den meisten Dell-PCs vorinstalliert ist. Die Software \u00fcberpr\u00fcft proaktiv den Zustand der Hard- und Software des Systems. Diese 'Gesundheitschecks' bestimmter Systemkomponenten erfordert Berechtigungen auf einer hohen Berechtigungsstufe \u2013 sprich: Es sind Administratorrechte erforderlich. Um mit Aktionen auszuf\u00fchren, die hohe Berechtigungen erfordern, wird zus\u00e4tzlich zu mehreren Diensten, die als SYSTEM ausgef\u00fchrt werden, ein signierter Treiber installiert. So viel als Vorbemerkungen zum Thema.<\/p>\n<h2>SafeBreach findet gravierende Schwachstelle<\/h2>\n<p>Solche Konstruktionen wecken nat\u00fcrlich das Interesse diverser Sicherheitsforscher, darunter auch Peleg Hadar, von den SafeBreach Labs. Im ersten Ansatz hat er sich auf die betreffenden Dienste konzentriert, wie er auf dieser Webseite schreibt. Speziell der Dienst \"Dell Hardware Support\" ist kritisch, da er einen Zugriff auf die PC-Hardware mit hoher Berechtigungsstufe erm\u00f6glicht und \u00fcber die M\u00f6glichkeit verf\u00fcgt, eine Privilegien-Eskalation einzuleiten.<\/p>\n<p><img decoding=\"async\" title=\"DSAPI.exe und pcdrwi.exe\" src=\"https:\/\/web.archive.org\/web\/20210115233139\/https:\/\/safebreach.com\/get\/files\/image\/galleries\/sb1.png\" alt=\"DSAPI.exe und pcdrwi.exe\" \/><\/p>\n<p>Nachdem der Dell Hardware-Supportdienst gestartet wurde, f\u00fchrt er das Programm <em>DSAPI.exe <\/em>aus, das wiederum <em>pcdrwi.exe <\/em>startet. Beide Prozesse laufen dann mit der Berechtigungsstufe SYSTEM. Als n\u00e4chstes f\u00fchrt der Dienst zahlreiche PC-Doctor-Programme aus, die Informationen \u00fcber das Betriebssystem und die Hardware des Computers sammeln. Diese ausf\u00fchrbaren Dateien sind eigentlich normale PE-Dateien, haben aber eine andere Erweiterung &#8211; \"p5x\".<\/p>\n<p>Alle diese ausf\u00fchrbaren Dateien laden DLL-Bibliotheken, die die M\u00f6glichkeit haben, Informationen aus verschiedenen Quellen (Software und Hardware) zu sammeln. Nachdem die Bibliotheken geladen waren, haben die Sicherheitsforscher per <em>ProcMon <\/em>folgendes festgestellt:<\/p>\n<p><a href=\"https:\/\/web.archive.org\/web\/20210115233135\/https:\/\/safebreach.com\/get\/files\/image\/galleries\/sb2.png\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"\" src=\"https:\/\/web.archive.org\/web\/20210115233135\/https:\/\/safebreach.com\/get\/files\/image\/galleries\/sb2.png\" alt=\"Aufgerufene Prozesse\" width=\"608\" height=\"122\" \/><\/a><br \/>\n(<a href=\"https:\/\/web.archive.org\/web\/20210115233135\/https:\/\/safebreach.com\/get\/files\/image\/galleries\/sb2.png\" target=\"_blank\" rel=\"noopener noreferrer\">Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n<p>Drei der p5x-Executables versuchen die folgenden DLL-Dateien im Zweig <em>c:\\python27 <\/em>(steckt in der PATH-Umgebungsvariablen) aufzurufen:<\/p>\n<ul>\n<li>LenovoInfo.dll<\/li>\n<li>AlienFX.dll<\/li>\n<li>atiadlxx.dll<\/li>\n<li>atiadlxy.dll<\/li>\n<\/ul>\n<p>An dieser Stelle braucht man eigentlich kaum mehr weiter zu lesen \u2013 denn diese Konstruktion, die geradezu nach DLL-Hijacking schreit, habe ich in diversen Blog-Beitr\u00e4gen in anderem Zusammenhang thematisiert. Stefan Kanthak hat dieses Konstrukt, welches eine potentielle Schwachstelle darstellen, in vielen Software-Paketen festgestellt und mir ein Testbett zum Ermitteln solcher Schwachstellen (Aufruf abh\u00e4ngiger DLLs) zur Verf\u00fcgung gestellt. Peleg Hadar, von den SafeBreach Labs schreibt dazu, dass er das Ganze in einer VM untersucht habe. Dabei wurden gravierende Anf\u00e4ngerfehler, die die Entwickler der PC-Doctor-Tools gemacht haben, festgestellt.<\/p>\n<p>Das Verzeichnis c:\\python27 wies in der Testumgebung eine ACL auf, die es jedem authentifizierten Benutzer erlaubt, Dateien in diesen Ordner zu schreiben. Dies macht eine Privilegien-Erweiterung zum Kinderspiel. Denn das erm\u00f6glicht es einem normalen Benutzer (und damit auch dort laufende Malware), eine DLL-Datei in diesen Ordner zu speichern. Er muss nur eine der oben erw\u00e4hnten DLL-Dateien mit einer eigenen DLL gleichen Namens \u00fcberschreiben. Sobald die Tools des PC-Doctor aufrufen werden, f\u00fchren diese die manipulierte DLL mit den Berechtigungen von SYSTEM aus. Die DLL hat dann die Kontrolle \u00fcber das System und kann beliebige Aktionen durchf\u00fchren.<\/p>\n<p>Der Beitrag von den SafeBreach Labs enth\u00e4lt noch weitere Analysen, die interne Zusammenh\u00e4nge der PC-Doctor-Tools erl\u00e4utern. Im Grund l\u00e4sst sich das alles aber auf einen gemeinsamen Nenner bringen: Das Ganze ist gro\u00dfer Mist und sollte pronto vom System deinstalliert werden. Am Ende des Beitrags werden auch andere betroffene Softwareprodukte wie CORSAIR Diagnostics, Tobii I-Series Diagnostic Tool etc. genannt.<\/p>\n<p>Blog Al-CiD hat mir Sonntag den Link zu einem Dell-Sicherheitshinweis geschickt. Unter <em>DSA-2019-084: Dell SupportAssist for Business PCs and Dell SupportAssist for Home PCs Security Update for PC Doctor Vulnerability<\/em> wird die Schwachstelle CVE-2019-12280 beschrieben. Diese wurde in der Gef\u00e4hrlichkeit als Hoch klassifiziert und betrifft folgende Dell-Software.<\/p>\n<ul>\n<li>Dell SupportAssist for Business PCs version 2.0<\/li>\n<li>Dell SupportAssist for Home PCs version 3.2.1 und vorherige Versionen<\/li>\n<\/ul>\n<p>Dell gibt an, dass folgenden Versionen von Dell SupportAssist f\u00fcr Gesch\u00e4ftssysteme und Dell SupportAssist f\u00fcr Heim-PCs eine L\u00f6sung f\u00fcr das Problem beinhalten:<\/p>\n<ul>\n<li>Dell SupportAssist f\u00fcr Business-PCs Version 2.0.1<\/li>\n<li>Dell SupportAssist f\u00fcr Heim-PCs Version 3.2.2.2<\/li>\n<\/ul>\n<p>Dell empfiehlt allen Kunden, die Updates (per Auto-Update oder manuell) so schnell wie m\u00f6glich durchzuf\u00fchren. The <a href=\"https:\/\/thehackernews.com\/2019\/06\/dells-supportassist-hacking.html\" target=\"_blank\" rel=\"noopener noreferrer\">Hacker News<\/a> und <a href=\"https:\/\/www.heise.de\/security\/meldung\/Dell-stellt-wichtige-Security-Updates-fuer-vorinstallierten-SupportAssist-bereit-4452811.html\" target=\"_blank\" rel=\"noopener noreferrer\">heise<\/a> haben ebenfalls Beitr\u00e4ge zum Thema ver\u00f6ffentlicht.<\/p>\n<p>Meine Empfehlung w\u00e4re, dieses Schlangen\u00f6l so schnell als m\u00f6glich vom System zu putzen (sofern m\u00f6glich). Hintergrund dieser Aussage: Einmal habe ich auf meinen Systemen so etwas bisher nie gebraucht. Zum Zweiten gehe ich davon aus, dass man schlicht die ACL-Einstellungen nur so angepasst hat, dass Zugriffe auf den Ordner nicht mehr f\u00fcr jeden Nutzer m\u00f6glich sind. Welche Schwachstellen (auch im Hinblick auf DLL-Hijacking) da weiterhin lauern, ist unklar. Erst k\u00fcrzlich hatte Dell den SupportAssist wegen einer Remote angreibaren L\u00fccken aktualisieren m\u00fcssen (siehe <a href=\"https:\/\/borncity.com\/blog\/2019\/05\/03\/dell-rechner-rce-sicherheitslcke-im-supportassist-client\/\">Dell-Rechner: RCE-Sicherheitsl\u00fccke im SupportAssist Client<\/a>).<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/03\/dell-rechner-rce-sicherheitslcke-im-supportassist-client\/\">Dell-Rechner: RCE-Sicherheitsl\u00fccke im SupportAssist Client<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/03\/29\/dell-encryption-scheitert-unter-windows-seit-mrz-2019\/\">Dell Encryption scheitert unter Windows seit M\u00e4rz 2019<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/11\/29\/mglicher-hack-dell-setzt-kundenpasswrter-zurck\/\">M\u00f6glicher Hack: Dell setzt Kundenpassw\u00f6rter zur\u00fcck<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/10\/30\/dell-neues-bios-verursacht-bitlocker-probleme\/\">Dell: Neues BIOS verursacht Bitlocker-Probleme<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/09\/06\/lenovo-35-millionen-strafe-fr-superfish-adware\/\">Lenovo: 3,5 Millionen $ Strafe f\u00fcr Superfish-Adware<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/11\/27\/lenovo-zahlt-73-millionen-us-dollar-fr-adware-installation\/\">Lenovo zahlt 7,3 Millionen US-Dollar f\u00fcr Adware-Installation<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/01\/19\/windows-10-update-installationsrger-mit-hp-hidclass-treibern\/\">Windows 10: Update-\u00c4rger mit HP HIDClass-Treibern<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/11\/25\/probleme-mit-hp-sure-click-unter-windows-10\/\">Probleme mit HP Sure Click unter Windows 10<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/12\/10\/keylogger-in-hp-notebook-synaptics-treibern-gefunden\/\">Neuer Keylogger in HP-Notebook-Synaptics Treibern gefunden<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/11\/27\/hp-installiert-heimlich-hp-touchpoint-analytics-client-telemetriedatenprogramm\/\">HP installiert heimlich HP Touchpoint Analytics Client-Telemetriedatenprogramm<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/10\/28\/lenovo-thinkpad-uefi-einstellungen-bricken-gerte\/\">Lenovo ThinkPad: UEFI-Einstellungen bricken Ger\u00e4te<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[En]Der auf vielen Dell-Systemen vorinstallierte PC-Doctor SupportAssist weist eine schwere Sicherheitsl\u00fccke auf, die eine Rechteauswertung erlaubt. Die Komponente steckt auch in Produkten von Corsair, Staples und Tobi. Dell hat ein Update freigegeben.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,301],"tags":[1146,1782,3288],"class_list":["post-219696","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-windows","tag-dell","tag-sicherheitslucke","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/219696","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=219696"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/219696\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=219696"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=219696"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=219696"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}