Les ordinateurs portables et les ordinateurs Dell trouvés vulnérables aux attaques

D’après des recherches effectuées en février 2019 à l’Université de Cambridge, il s’est avéré que beaucoup d’ordinateurs de bureau portables modernes sont fragiles au piratage par le biais des dispositifs plug-in courants.

L’équipe de recherche du Network and Distributed Systems Security Symposium de San Diego a démontré en quelques secondes que les hackers risquaient de faire des compromis sur une machine sans surveillance en se servant de dispositifs du genre chargeur et station d’accueil.

Des failles ont été constatées dans les ordinateurs équipés de ports Thunderbolt sous Windows, macOS, Linux et FreeBSD. Un grand nombre d’ordinateurs portables modernes et de plus en plus d’ordinateurs de bureau sont vulnérables.

Le premier mai, ZDNet a dévoilé la façon dont une vulnérabilité de l’utilitaire Dell SupportAssist fait que les ordinateurs portables et personnels Dell sont exposés à une attaque à distance qui peut peut donner la possibilité à des hackers d’exécuter du code avec privilèges administrateur sur des périphériques avec une version antérieure de cet outil et contrôler des utilisateurs de système.

Dell a lancé un correctif pour cette faille de sécurité le 23 avril, mais un grand nombre d’utilisateurs demeureront sans doute vulnérables à moins d’avoir déjà mis à jour l’outil qui sert à corriger les bugs, faire des diagnostiques et mettre automatiquement les pilotes DELL à niveau. Le nombre d’utilisateurs impactés est estimé très élevé, car l’outil SupportAssist représente l’une des applications que Dell va préinstaller sur tous les ordinateurs portables Dell et les ordinateurs livrés avec un OS Windows (les systèmes vendus sans OS ne sont pas affectés).

CVE-2019-3719

D’après Bill Demirkapi, un chercheur américain de 17 ans spécialiste de la sécurité, l’application Dell SupportAssist se trouve en proie à une fragilisation qui, dans certaines circonstances, peut facilement permettre aux hackers de pirater un système DELL.

L’attaque se fonde sur le fait que les utilisateurs sont attirés par une page Web malveillante, sur laquelle le code JavaScript peut amener l’outil Dell SupportAssist à télécharger et exécuter des fichiers depuis un emplacement contrôlé par un hacker.

Du fait que l’outil Dell SupportAssist fonctionne en mode administrateur, les hackers auront un accès total aux systèmes ciblés, s’ils sont en mesure d’exécuter cette attaque dans la bonne position.

L’ATTAQUE REQUIERT UN COMPROMIS TERRE/ROUTEUR

«Le hackers a besoin de se trouver sur le réseau de la victime afin d’effectuer une attaque ARP Spoofing et une attaque DNS Spoofing sur la machine de la victime dans l’objectif de faire une exécution du code à distance», a raconté Demirkapi à ZDNet dans un email de discussion.

Cela peut paraître difficile, toutefois ce n’est pas aussi complexe qu’il n’y paraît.

Deux scénarios dans lesquels l’attaque marcherait incluent les réseaux WiFi publics ou les réseaux de grandes entreprises où il y a au moins une machine compromise qui peut servir à lancer les attaques ARP et DNS contre les systèmes Dell voisins utilisant l’outil SupportAssist.

Un autre scénario envisageable est celui où des hackers ont piraté le routeur WiFi local de l’utilisateur et sont en capacité de faire des modifications sur le trafic DNS, directement sur le routeur.

Comme nous avons pu le constater ces derniers mois, le piratage de routeurs pour détourner le trafic DNS ne constitue plus une attaque de haute technicité et se fait de plus en plus fréquemment, du fait notamment du mauvais état du système de sécurité des routeurs.

L’ATTAQUE NE REQUIERT AUCUNE INTERACTION DE L’UTILISATEUR

En plus, l’attaque ne requiert aucune interactivité de la part de l’utilisateur, il s’agit uniquement de piéger les utilisateurs en leur faisant accéder à une page malveillante, et le code JavaScript malveillant qui la provoque peut aussi se dissimuler dans des annonces (iframes) de sites légitimes, au cas où il le serait.

Ainsi que l’a indiqué Demirkapi à ZDNet, l’iframe indiquera un sous-domaine de dell.com, puis une attaque de spoofing DNS effectuée depuis une machine/routeur contrôlée par un hacker retournera une adresse IP erronée pour le domaine dell, donnant la possibilité à ce dernier de contrôler quels fichiers sont expédiés et exécutés par l’outil SupportAssist.

Heureusement, Dell a considéré le rapport du chercheur avec sérieux et a corrigé CVE-2019-3719 au cours des derniers mois, et ce travail a pris fin la semaine dernière avec la sortie de SupportAssist v3.2.0.90, que les utilisateurs Dell ont à présent pour consigne de mettre à jour.

Joli travail de Dell pour résoudre ce problème. La majorité des autres fournisseurs de matériel ne se seraient même pas souciés de répondre. Incroyable découverte de Bill, comme à chaque fois. Je suis impatient qu’il commence à casser les trucs de Windows.