Se ha descubierto una nueva vulnerabilidad en los ordenadores Dell que permite que sean hackeados de forma remota. El culpable es una app preinstalada, Dell SupportAssist cuya vulnerabilidad expone a sus portátiles y ordenadores a un ataque remoto o hijacking. Este fallo permite al atacante ejecutar código con privilegios de administrador que usan una versión desactualizada de dicha herramienta.
Los ordenadores Dell en peligro por una app preinstalada
Hay que aclarar que Dell ha lanzado un parche de seguridad el pasado día 23 de abril, por lo que si mantienes tu app Dell SupportAssist actualizada no deberías tener peligro. Sin embargo usualmente las herramientas de este tipo que se preinstalan en los ordenadores de esta índole suelen abandonarse por el usuario, por lo que hay miles de ordenadores potencialmente vulnerables ante estos ataques.
Se estima que la cantidad de usuarios afectados por esta vulnerabilidad es muy alta, ya que al ser una herramienta preinstalada se instala en prácticamente todos los ordenadores portátiles y PCs de Dell. No obstante, si has comprado un Dell o un ordenador premontado por la compañía sin sistema operativo no deberías estar afectado. Si tienes la app instalada y no la tienes actualizada, entonces puedes estar en peligro.
La persona que ha descubierto dicha vulnerabilidad es Bill Demirkapi, un investigador de seguridad de tan solo 17 años. La aplicación Dell SupportAssist es vulnerable a una falla de “ejecución remota de código” que con las circunstancias adecuadas permite a los atacantes secuestrar el ordenador, o hacerle “hijacking”.
El ataque consiste en atraer usuarios a una página web maliciosa con un código JavaScript que es capaz de engañar a la herramienta de Dell. Dicho código puede provocar que SupportAssist descargue y ejecute archivos desde una ubicación controlada por el mismo atacante. La herramienta de Dell se ejecuta como administrador, así que el atacante tendrá todos los permisos necesarios para secuestrar el ordenador. Bill Demirkapi lo detalla en esta web.
El ataque necesita ciertas condiciones para que sea fructífero. Según Demirkapi a ZDNet, “el atacante debe estar en la red de la víctima para realizar un ataque de suplantación ARP y un ataque de suplantación DNS en el equipo de la víctima para lograr la ejecución remota de código”. Puede sonar complicado, pero nada más lejos de la realidad.
Las redes Wi-Fi públicas o las redes grandes a nivel empresarial pueden ser el caldo de cultivo perfecto para estas condiciones. Se necesita un equipo con la vulnerabilidad que sirva para lanzar los ataques ARP y DNS contra sistemas Dell adyacentes que ejecuten la herramienta SupportAssist. También se puede comprometer el router Wi-Fi de los usuarios para alterar el tráfico DNS. Esto vuelve a sonar complicado, pero los routers no presumen de tener una gran seguridad, por lo que es relativamente fácil para alguien con conocimientos hackearlos.
La condición más preocupante de este ataque, sin embargo, es que no necesita que el usuario haga nada. Solo se precisa atraer usuarios con estos ordenadores a la página web maliciosa anteriormente mencionada y el código JavaScript hará el resto. Este se puede ocultar en la web dentro de anuncios (iframe) o dentro de páginas web seguras.
De hecho, Demirkapi explica que dicho iframe apuntaría a un subdominio de Dell.com y así permitirá al atacante controlar qué archivos son enviados y ejecutados por la herramienta SupportAssist. El mismo subió un vídeo mostrando de qué manera se realiza el ataque.
Hay que dejar bien claro que Dell se ha tomado en serio dicha vulnerabilidad, y en estas últimas semanas ha estado trabajando para parchear la vulnerabilidad. La semana pasada Dell lanzó la versión de SupportAssist v3.2.0.90 con la solución. Los usuarios están advertidos de que deben actualizar el software para evitar el ataque. Si tienes un portátil o PC Dell con este software y no lo tienes actualizado, te instamos a que actualices el programa lo antes posible.