新闻快讯
< >

注意!戴尔系统多个预装软件现漏洞 易被黑客攻击

E安全7月6日讯 思科Talos发布6月30日公告指出,Dell Precision Optimizer应用程序服务软件、 Invincea-X和Invincea Dell Protected Workspace存在漏洞。这些软件包预装在某些戴尔系统上。攻击者可利用这些漏洞禁用安全机制、提权,并执行任意代码。这些安全漏洞使戴尔系统处于代码执行攻击的危险之中。

漏洞CVE-2016-9038

Invincea-X和Dell Protected Workspace 6.1.3-24058中存在的漏洞编号为CJVE-2016-9038,这是SboxDrv.sys驱动程序中存在的Double Fetch漏洞。

攻击者发送特制数据到\Device\SandboxDriverApi设备驱动程序(人人皆可读取/改写)便可利用该漏洞。

攻击者可以利用该漏洞将任意值写入内核内存空间,从而取得本地权限升级。

注意!戴尔系统多个预装软件现漏洞 易被黑客攻击-E安全

漏洞CVE-2016-8732

第二个漏洞编号为CVE-2016-8732,其影响了Invincea Dell Protected Workspace 5.1.1-22303(端点安全解决方案)。

据Talos介绍,漏洞出现在其中一个驱动程序组件之中。“InvProtectDrv.sys”包含在Invincea Dell Protected Workspace 5.1.1-22303之中。驱动程序通信通道的限制薄弱,再加上验证不足,允许攻击者(控制了在被感染系统上执行的应用)利用驱动程序禁用保护机制。该漏洞6.3.0版本中得以修复。

漏洞CVE-2017-2802

第三个漏洞为CVE-2017-2802,影响了Dell Precision Optimizer应用程序,允许攻击者执行任意代码。该漏洞影响了配备nVidia 显卡、PPO Policy 处理引擎3.5.5.0(PPO Policy Processing Engine 3.5.5.0)和ati.dll (PPR 监控插件)3.5.5.0的Dell Precision Tower 5810

Dell PPO Service(由Dell Precision Optimizer提供)启动期间,程序“c:\Program Files\Dell\PPO\poaService.exe”加载dll “c:\Program Files\Dell\PPO\ati.dll”,并尝试加载“atiadlxx.dll”(本身不会出现在该应用的默认目录之中)。这款程序在PATH环境变量指定的目录中搜索经适当命名的dll。如果该程序发现同名的dll,就会将这个dll加载到poaService.exe,而不会检查dll的签名。这样一来,攻击者可以提供名称正确的恶意dll来执行任意代码。

这些漏洞带来的安全影响较大,因为组织机构通常将Invincea Dell Protected Workspace部署在高度安全环境中的安全工作站上。

因此,仔细评估预装软件避免受到漏洞影响,这一点相当重要。

Talos专家总结称,考虑到Invincea Dell Protected Workspace通常被部署在安全工作站(高度安全的环境)中,因此建议受到影响的组织机构尽快升级到最新版本,以确保攻击者无法绕过安全保护。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。