L’outil de solution de problèmes que Dell fournit d’origine sur ses PC, peut être abusé en vue de mettre la main sur les droits d’administrateur. C’est la deuxième fois déjà en l’espace de deux mois qu’un problème de logiciel surgit chez Dell.
Il s’agit cette fois de SupportAssist, un outil de résolution de problèmes installé par défaut sur quasiment chaque ordinateur de bureau et portable de Dell. C’est le chercheur en sécurité Peleg Hadar de SafeBreach Labs qui a découvert que cet outil charge les fichiers .dll de manière peu sûre et met ainsi à mal tous les droits sur le système.
Cela signifie qu’un malware ou un utilisateur de PC, qui ne possède pas de droits d’administrateur, peut faire exécuter des fichiers .dll via SupportAssist et ainsi faire tourner du code mal intentionné sur l’appareil.
Hadar avait précédemment déjà averti Dell de ce point faible, qui a reçu le nom de code CVE-2019-12280. Dell a sorti le 28 mai un patch pour le corriger et a informé The Register que 90 pour cent des utilisateurs l’ont entre-temps installé.
La version professionnelle actualisée s’appelle SupportAssist for Business PC’s 2.0.1. Pour les appareils à la consommation, il s’agit de SupportAssist for Home PC’s 3.2.1. Les versions plus anciennes sont vulnérables au problème et doivent donc faire l’objet d’une mise à jour.
C’est déjà la deuxième fois en l’espace de deux mois qu’un problème est découvert au niveau de SupportAssist. Début mai, un chercheur en sécurité de dix-sept ans avait en effet décelé un tout autre bug permettant de prendre le contrôle d’un ordinateur via SupportAssist.
En outre, il y a un grand risque que Dell ne soit pas le seul fabricant de PC à être ainsi vulnérable. Selon Hadar, il se pourrait que le problème soit causé par PC Doctor, qui conçoit ce genre de logiciel pour plusieurs marques. Même si cela n’est pas encore tout à fait certain, il y a donc un risque que d’autres marques éprouvent un problème similaire avec leur outil de diagnostic.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici