【注意】戴尔系统多个预装软件现漏洞 易被黑客攻击
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全7月6日讯 思科Talos发布6月30日公告指出,Dell Precision Optimizer应用程序服务软件、 Invincea-X和Invincea Dell Protected Workspace存在漏洞。这些软件包预装在某些戴尔系统上。攻击者可利用这些漏洞禁用安全机制、提权,并执行任意代码。这些安全漏洞使戴尔系统处于代码执行攻击的危险之中。
漏洞CVE-2016-9038
Invincea-X和Dell Protected Workspace 6.1.3-24058中存在的漏洞编号为CJVE-2016-9038,这是SboxDrv.sys驱动程序中存在的Double Fetch漏洞。
攻击者发送特制数据到\Device\SandboxDriverApi设备驱动程序(人人皆可读取/改写)便可利用该漏洞。
攻击者可以利用该漏洞将任意值写入内核内存空间,从而取得本地权限升级。
漏洞CVE-2016-8732
第二个漏洞编号为CVE-2016-8732,其影响了Invincea Dell Protected Workspace 5.1.1-22303(端点安全解决方案)。
据Talos介绍,漏洞出现在其中一个驱动程序组件之中。“InvProtectDrv.sys”包含在Invincea Dell Protected Workspace 5.1.1-22303之中。驱动程序通信通道的限制薄弱,再加上验证不足,允许攻击者(控制了在被感染系统上执行的应用)利用驱动程序禁用保护机制。该漏洞6.3.0版本中得以修复。
漏洞CVE-2017-2802
第三个漏洞为CVE-2017-2802,影响了Dell Precision Optimizer应用程序,允许攻击者执行任意代码。该漏洞影响了配备nVidia 显卡、PPO Policy 处理引擎3.5.5.0(PPO Policy Processing Engine 3.5.5.0)和ati.dll (PPR 监控插件)3.5.5.0的Dell Precision Tower 5810。
Dell PPO Service(由Dell Precision Optimizer提供)启动期间,程序“c:\Program Files\Dell\PPO\poaService.exe”加载dll “c:\Program Files\Dell\PPO\ati.dll”,并尝试加载“atiadlxx.dll”(本身不会出现在该应用的默认目录之中)。这款程序在PATH环境变量指定的目录中搜索经适当命名的dll。如果该程序发现同名的dll,就会将这个dll加载到poaService.exe,而不会检查dll的签名。这样一来,攻击者可以提供名称正确的恶意dll来执行任意代码。
这些漏洞带来的安全影响较大,因为组织机构通常将Invincea Dell Protected Workspace部署在高度安全环境中的安全工作站上。
因此,仔细评估预装软件避免受到漏洞影响,这一点相当重要。
Talos专家总结称,考虑到Invincea Dell Protected Workspace通常被部署在安全工作站(高度安全的环境)中,因此建议受到影响的组织机构尽快升级到最新版本,以确保攻击者无法绕过安全保护。
E安全推荐文章
官网:www.easyaq.com
2017年7月