由于PC-Doctor组件存在缺陷，数亿台电脑可能受到黑客攻击

华盟君引言“由于PC-Doctor软件的一个严重缺陷，许多供应商的数亿台电脑可能已经暴露在黑客攻击之下。”

SafeBreach的专家发现，预装在大多数戴尔电脑上的戴尔support portassist软件受到了一个DLL劫持漏洞的影响，该漏洞的跟踪号为CVE-2019-12280。该漏洞可能被具有常规用户权限的攻击者利用，通过在特定位置植入特殊设计的DLL文件来执行具有更高权限的任意代码。

SupportAssist用于检查系统硬件和软件的健康状况，当检测到问题时，它将必要的系统状态信息发送给Dell，以便开始进行故障排除。

显然，检查需要提升特权，因为许多服务运行时具有系统权限。

专家表示，SupportAssist利用PC-Doctor公司开发的组件访问敏感的底层硬件(包括物理内存、PCI和SMBios)。

专家发现，就在戴尔硬件支持服务启动之后，它执行DSAPI.exe，而DSAPI.exe又执行pcdrwi.exe。两个可执行文件都以系统特权运行。

然后，服务执行几个PC-Doctor可执行程序，以便收集系统信息。可执行文件是使用扩展名“p5x”的常规PE文件。

p5x中的三个可执行程序试图在用户路径环境变量LenovoInfo中找到以下DLL文件。dll, AlienFX。dll, atiadlxx。dll, atiadlxy.dll。

专家发现，在他们的测试环境中，路径c:\python27有一个ACL，它允许任何经过身份验证的用户将文件写到ACL上。这意味着可以升级特权，允许普通用户编写缺少的DLL文件，并作为系统实现代码执行。

该漏洞使攻击者能够通过签名服务加载和执行恶意有效负载。Safebreach发布的帖子写道。

“该能力可能会被攻击者滥用于不同的目的，例如执行和逃避，例如:

应用白名单绕过

签名验证绕过”

造成该漏洞的根本原因是缺乏安全的DLL加载和针对二进制文件的数字证书验证。

SafeBreach在4月底向戴尔报告了这一缺陷，几天后戴尔证实了这一问题，但指出它影响了PC-Doctor提供的一个支持辅助组件。

戴尔在5月底发布了商用版的SupportAssist 2.0.1和家用电脑版的SupportAssist，解决了这一漏洞。

用户自动接收更新，因为软件默认启用了自动更新。

现在考虑到PC-Doctor预装在全球超过1亿台电脑上，这个问题的范围可能是巨大的。SafeBreach的研究人员发现，海盗号诊断仪、史泰博EasyTech诊断仪以及Tobii I-Series和Tobii Dynavox诊断工具中也存在这种缺陷。