戴爾系統多個預裝軟體現漏洞易被黑客攻擊

科技 07-06

E安全7月6日訊思科Talos發布6月30日公告指出，Dell Precision Optimizer應用程序服務軟體、 Invincea-X和Invincea Dell Protected Workspace存在漏洞。這些軟體包預裝在某些戴爾系統上。攻擊者可利用這些漏洞禁用安全機制、提權，並執行任意代碼。這些安全漏洞使戴爾系統處於代碼執行攻擊的危險之中。

漏洞CVE-2016-9038

Invincea-X和Dell Protected Workspace 6.1.3-24058中存在的漏洞編號為CJVE-2016-9038，這是SboxDrv.sys驅動程序中存在的Double Fetch漏洞。

攻擊者發送特製數據到DeviceSandboxDriverApi設備驅動程序（人人皆可讀取/改寫）便可利用該漏洞。

攻擊者可以利用該漏洞將任意值寫入內核內存空間，從而取得本地許可權升級。

戴爾系統多個預裝軟體現漏洞易被黑客攻擊

漏洞CVE-2016-8732

第二個漏洞編號為CVE-2016-8732，其影響了Invincea Dell Protected Workspace 5.1.1-22303（端點安全解決方案）。

據Talos介紹，漏洞出現在其中一個驅動程序組件之中。「InvProtectDrv.sys」包含在Invincea
Dell Protected Workspace
5.1.1-22303之中。驅動程序通信通道的限制薄弱，再加上驗證不足，允許攻擊者（控制了在被感染系統上執行的應用）利用驅動程序禁用保護機制。該漏洞6.3.0版本中得以修復。

漏洞CVE-2017-2802

第三個漏洞為CVE-2017-2802，影響了Dell
Precision Optimizer應用程序，允許攻擊者執行任意代碼。該漏洞影響了配備nVidia 顯卡、PPO Policy
處理引擎3.5.5.0（PPO Policy Processing Engine 3.5.5.0）和ati.dll （PPR
監控插件）3.5.5.0的Dell Precision Tower 5810。

Dell
PPO Service（由Dell Precision Optimizer提供）啟動期間，程序「c:Program
FilesDellPPOpoaService.exe」載入dll 「c:Program
FilesDellPPOati.dll」，並嘗試載入「atiadlxx.dll」（本身不會出現在該應用的默認目錄之中）。這款程序在PATH環境變數指定的目錄中搜索經適當命名的dll。如果該程序發現同名的dll，就會將這個dll載入到poaService.exe，而不會檢查dll的簽名。這樣一來，攻擊者可以提供名稱正確的惡意dll來執行任意代碼。

這些漏洞帶來的安全影響較大，因為組織機構通常將Invincea Dell Protected Workspace部署在高度安全環境中的安全工作站上。

因此，仔細評估預裝軟體避免受到漏洞影響，這一點相當重要。

Talos專家總結稱，考慮到Invincea Dell Protected Workspace通常被部署在安全工作站（高度安全的環境）中，因此建議受到影響的組織機構儘快升級到最新版本，以確保攻擊者無法繞過安全保護。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！