デルのサポート用ソフト「Dell System Detect」に脆弱性発覚、99％の利用者が未対策版を使用

デルが提供しているサポート用ソフトウェア「Dell System Detect」に脆弱性が発見され、悪意のある攻撃者によって知らぬ間に不正に任意のファイルを送り込まれて実行させられる危険性が存在していたことが明らかになりました。デルはすでにこの脆弱性について対策済みの「バージョン6.0.0.14」をリリースしていますが、それ以前のバージョンを使っているユーザーはすぐにアップデートしておく必要がありそうです。

Dell System Detect RCE vulnerability | Tom's corner of the internet
http://tomforb.es/dell-system-detect-rce-vulnerability

エフセキュアブログ : デルのSystem Detectにリモートコード実行の危険性
http://blog.f-secure.jp/archives/50746145.html

Dell System Detect(DSD)はデルがユーザーサポート用に提供しているアプリケーションの一つで、その名が示すとおり「製品の検知」「ドライバの検知」「診断の実行」という3つの主な機能を持っています。ソフトウェアのバージョンは、DSDを立ち上げた画面の赤枠部分で確認することができます。

DSDはデルのサーバにアクセスし、最新のドライバなどのファイルを自動でダウンロードしてインストールする機能を備えているのですが、セキュリティ専門家のTom Forbes氏がブログで明らかにした内容によると、本来はDSDがサーバにアクセスする際には「dell.com」を含むサーバからファイルをダウンロードする必要があるにもかかわらず、単に「dell」の文字列が含まれるサーバ全てを許容してしまうという問題が確認されています。

Forbes氏は、DSDが行う通信をGoogle Chromeに実装されているデベロッパツールを利用することで解析し、以下のように「dell」の文字列がドメインに含まれていることだけを認証していることを突き止めています。

これを悪用すると、本来は「dell.com」のドメインに接続することが必要なはずの通信が、例えば「http://hacker.com/dell」のように「dell」の文字列が含まれている場合であればどこでも許容されてしまうことになり、悪意のある攻撃者が不正にマルウェアを送り込んだり、プログラムを起動させることが可能になってしまうとのこと。

セキュリティ関連企業のエフセキュアはこの問題を検証するために、「notreallydell.com」という架空のドメインを使ってプログラムをリモートで実行させる実験を行い、以下の画像のようにWindowsの電卓を起動することに成功しています。

DellではForbesによる報告を受けてすでに対策を講じており、この問題はDSDを最新バージョンに更新することで回避することができるようになるのですが、このアプリケーションは自動アップデートに対応していないため、利用しているユーザーが自分でアップデートを実行する必要があります。エフセキュアによれば、2015年4月初頭の時点で最新バージョンを利用しているユーザーは全体の1％にすぎず、99％のユーザーは脆弱性の残る旧バージョンを使い続けているとのことです。

エフセキュアブログ : デルのSystem Detectにリモートコード実行の危険性

対策済みとはいえ、リスクを抱える旧バージョンのソフトが多く使われ続けている状況から、アンチウィルスソフトのMalwarebytesはDSDをPUP：不審なプログラムと判定する状態となっています。

Dell System Detect Vulnerability now classified as a PUP | Malwarebytes Unpacked

対策済みの最新バージョンは下記URLからダウンロード可能なので、「Dell System Detect」を入れている人はできるだけ早くアップデートを行って下さい。

https://downloads.dell.com/tools/dellsystemdetect/dellsystemdetect.application