O software DellSupportAssist, que vem instalado por defeito em muitos computadores da Dell, estava afetado por uma falha de DLL hijacking dada pelo CVE-2019-12280. Podia ser explorada pelo atacante com permissões de utilizador (baixos privilégios) para executar código arbitrariamente com altos níveis de privilégio através da criação de determinados ficheiros DLL em certas localizações.

O que este software faz é a verificação da saúde dos sistemas a nível de hardware e software, sendo que, quando um problema é detetado, o programa envia a informação necessária à Dell para corrigir o problema.

Como funciona o programa?

Este SupportAssist possui uma componente que é desenvolvida pela PC-Doctor de forma a aceder a hardware de baixo nível. Ora, assim que o serviço de suporte de hardware da Dell inicia, executa o processo DSAPI.exe, que depois executa o pcdrwi.exe. Ambos correm com privilégios de administrador.

Daí, são executados diversos componentes do PC-Doctor de forma a recolher informação do sistema, e os executáveis são ficheiros PE regulares com a extensão "p5x"; três desses executáveis tentam encontrar na variável de ambiente do utilizador os ficheiros: LenovoInfo.dll, AlienFX.dll, atiadlxx.dll, atiadlxy.dll.

Foi descoberto que é possível a qualquer utilizador autenticado escrever ficheiros na lista de controlo de acesso e, portanto, escalar privilégios que permitem a qualquer utilizador escrever o ficheiro DLL em falta e executar código remotamente como administradores.

A raiz do problema encontra-se, portanto, na falta de validação do DLL que é carregado e do certificado digital.

Versões corrigidas

Para corrigir o problema, a Dell lançou o Support Assist for Business 2.0.1 e o SupportAssist para computadores domésticos 3.2.2

Fonte: https://www.securityweek.com/millions-devices-exposed-attacks-due-flaw-pc-doctor-software