SupportAssist-app van Dell had lange tijd een beveiligingslek

10 reacties

De SupportAssist-software die Dell op veel van zijn apparaten installeert is lange tijd kwetsbaar geweest voor een beveiligingslek. Het programma, dat moet dienen om automatisch de status van je soft- en hardware in de gaten te houden, maakte het voor hackers mogelijk om kwaadaardige code op pc's te krijgen.

Het beveiligingslek werd in oktober 2018 opgemerkt door de 17-jarige Bill Demirkapi, die het aan Dell rapporteerde. Het duurde echter tot april dit jaar tot een oplossing uit werd gebracht en Dell de kwetsbaarheid openbaarde. Versies vóór nummer 3.2.0.90 lopen risico.

De kern van het probleem zat hem in de functie waarbij SupportAssist automatisch met de Dell-website communiceert om nieuwe drivers te herkennen en downloaden. Hackers konden het te downloaden bestand vervangen met een eigen programma, en omdat SupportAssist niet goed controleerde op de authenticiteit van de download konden virussen e.d. geïnstalleerd worden.

Dat is op zich al een vrij groot probleem, maar hoe Dell ermee om is gegaan is ook twijfelachtig. Nadat het bedrijf de melding van Demirkapi had bevestigd, werd het publiceren van een oplossing meerdere malen uitgesteld. Demirkapi vat het samen in een korte tijdlijn:

  • 10/26/2018 - Initial write up sent to Dell.
  • 10/29/2018 - Initial response from Dell.
  • 11/22/2018 - Dell has confirmed the vulnerability.
  • 11/29/2018 - Dell scheduled a “tentative” fix to be released in Q1 2019.
  • 01/28/2019 - Disclosure date extended to March.
  • 03/13/2019 - Dell is still fixing the vulnerability and has scheduled disclosure for the end of April.
  • 04/18/2019 - Vulnerability disclosed as an advisory.

In het bijna halve jaar dat de kwetsbaarheid bekend was (plus alle tijd daarvoor dat hij ook al bestond) heeft Dell miljoenen pc's verkocht, die bijna allemaal kwetsbaar waren voor externe code. Voor alle lezers die dit artikel via een Dell-pc bekijken is het dan ook sterk aan te raden om te controleren welke versie van de SupportAssist-toepassing je geïnstalleerd hebt. Als deze ouder is dan verse 3.2.0.90, is het wijs om hier de meest recente versie te downloaden. Alternatief kun je het programma van je computer verwijderen.

 

Bronnen: Notebookcheck, Bill Demirkapi (Github)

« Vorig bericht Volgend bericht »
0
*