デルのサポート用ソフト「Dell System Detect」に脆弱性発覚、99%の利用者が未対策版を使用


デルが提供しているサポート用ソフトウェア「Dell System Detect」に脆弱性が発見され、悪意のある攻撃者によって知らぬ間に不正に任意のファイルを送り込まれて実行させられる危険性が存在していたことが明らかになりました。デルはすでにこの脆弱性について対策済みの「バージョン6.0.0.14」をリリースしていますが、それ以前のバージョンを使っているユーザーはすぐにアップデートしておく必要がありそうです。

Dell System Detect RCE vulnerability | Tom's corner of the internet
http://tomforb.es/dell-system-detect-rce-vulnerability

エフセキュアブログ : デルのSystem Detectにリモートコード実行の危険性
http://blog.f-secure.jp/archives/50746145.html

Dell System Detect(DSD)はデルがユーザーサポート用に提供しているアプリケーションの一つで、その名が示すとおり「製品の検知」「ドライバの検知」「診断の実行」という3つの主な機能を持っています。ソフトウェアのバージョンは、DSDを立ち上げた画面の赤枠部分で確認することができます。


DSDはデルのサーバにアクセスし、最新のドライバなどのファイルを自動でダウンロードしてインストールする機能を備えているのですが、セキュリティ専門家のTom Forbes氏がブログで明らかにした内容によると、本来はDSDがサーバにアクセスする際には「dell.com」を含むサーバからファイルをダウンロードする必要があるにもかかわらず、単に「dell」の文字列が含まれるサーバ全てを許容してしまうという問題が確認されています。

Forbes氏は、DSDが行う通信をGoogle Chromeに実装されているデベロッパツールを利用することで解析し、以下のように「dell」の文字列がドメインに含まれていることだけを認証していることを突き止めています。


これを悪用すると、本来は「dell.com」のドメインに接続することが必要なはずの通信が、例えば「http://hacker.com/dell」のように「dell」の文字列が含まれている場合であればどこでも許容されてしまうことになり、悪意のある攻撃者が不正にマルウェアを送り込んだり、プログラムを起動させることが可能になってしまうとのこと。

セキュリティ関連企業のエフセキュアはこの問題を検証するために、「notreallydell.com」という架空のドメインを使ってプログラムをリモートで実行させる実験を行い、以下の画像のようにWindowsの電卓を起動することに成功しています。


DellではForbesによる報告を受けてすでに対策を講じており、この問題はDSDを最新バージョンに更新することで回避することができるようになるのですが、このアプリケーションは自動アップデートに対応していないため、利用しているユーザーが自分でアップデートを実行する必要があります。エフセキュアによれば、2015年4月初頭の時点で最新バージョンを利用しているユーザーは全体の1%にすぎず、99%のユーザーは脆弱性の残る旧バージョンを使い続けているとのことです。

エフセキュアブログ : デルのSystem Detectにリモートコード実行の危険性


対策済みとはいえ、リスクを抱える旧バージョンのソフトが多く使われ続けている状況から、アンチウィルスソフトのMalwarebytesはDSDをPUP:不審なプログラムと判定する状態となっています。

Dell System Detect Vulnerability now classified as a PUP | Malwarebytes Unpacked


対策済みの最新バージョンは下記URLからダウンロード可能なので、「Dell System Detect」を入れている人はできるだけ早くアップデートを行って下さい。

https://downloads.dell.com/tools/dellsystemdetect/dellsystemdetect.application

・関連記事
ハッカーが2分以内にマルウェアを埋め込めるBIOSの脆弱性が発見される - GIGAZINE

Lenovo製PCのプリインストールソフトにサイバー攻撃の火種になる危険性 - GIGAZINE

Blu-rayディスクを挿入するだけでPCやプレーヤーがマルウェアに感染する可能性 - GIGAZINE

Mac版Chromeで13文字のアッシリア語を表示させるとタブがクラッシュするバグ発生 - GIGAZINE

Googleアナリティクスを悪用して広告とポルノをウェブに挿入する攻撃方法が判明 - GIGAZINE

「スマホの電源がオフの間も監視するマルウェア」はどのように動いているのか? - GIGAZINE

既存のAndroid端末の約半分でパスワードを盗まれる脆弱性が発覚、脆弱性がないか検査するアプリも登場 - GIGAZINE

138

in ソフトウェア, Posted by logx_tm