根据来自 Cisco Talos的专家说, 易受攻击的预装软件有 Dell Precision Optimizer application service 、 Invincea x 和 Invincea Dell Protected Workspace。思科Talos实验室表示。
"Talos正发布针对这些漏洞的警告。这些程序被预装在某些戴尔系统上。这些应用程序中存在的漏洞使攻击者能够禁用安全机制、升级权限并在应用程序用户的上下文中执行任意代码. ”
本地提权漏洞 CVE-2016-9038
Invincea-X 中的第一个漏洞—Dell Protected Workspace 6.1.3-24058,CVE-2016-9038,它是 SboxDrv. sys 驱动程序中的双重提取。
攻击者可以通过将精心策划的数据发送到 SandboxDriverApi 设备驱动程序来利用此漏洞, 这是对所有人开放的可读/写操作。并 可以利用此问题向内核内存空间写入任意值, 以获得本地权限升级。
禁用安全机制CVE-2016-8732
第二个漏洞-CVE-2016-8732,影响Invincea Dell Protected Workspace 5.1.1-22303,它是一个端点安全解决方案。
据Talos所说,这些缺陷存在于其中一个驱动程序组件中,即版本 5.1.1-22303中的‘InvProtectDrv.sys’。对驱动程序通信通道的弱限制和验证不足,可使攻击者控制的应用程序在易受害的计算机上执行, 从而利用该驱动程序禁用保护机制。该Bug已在6.3.0版本中被修复。
任意代码执行漏洞 CVE-2017-2802
第三个漏洞— CVE-2017-2802—影响Dell Precision Optimizer应用程序,可能导致任意代码的执行。这些漏洞影响搭配nVidia显卡的Dell Precision Tower5810、 PPO Policy Processing Engine 3.5.5.0和ati.dll (PPR 监控插件) 3.5.5.0。
Dell Protected Workspace漏洞最为严重
"鉴于 Invincea Dell Protected Workspace是一个通常部署在高安全环境中的工作站安全应用程序, 建议使用此受影响版本的组织尽快更新到最新版本, 以确保攻击者无法绕过此软件提供的保护。”Talos总结说。