你用的电脑是什么品牌的？你有没有对你电脑系统中预装或自带软件的安全性产生过怀疑？当我们谈论远程代码执行漏洞（RCE）时，可能大多数人会认为它和操作系统漏洞相关，但是有没有人考虑到预装到电脑系统中的第三方软件这一攻击可能呢？本文讲述的就是纽约17岁安全研究者最近发现的，戴尔预装在其电脑上的软件工具Dell SupportAssist 的一个远程代码执行漏洞（RCE），利用该漏洞，可对同一网络环境中安装有Dell SupportAssist 的目标系统实施RCE攻击。Dell SupportAssist 用于“主动检查系统硬件和软件运行状况”，并且“预装自带在大多数全新的戴尔电脑系统中”。

以下为作者的详细分析，比较繁琐，涉及请求分析、完整性检查分析、漏洞利用思路构造、ARP和DNS欺骗。具体利用请参考文末最后的漏洞利用及PoC部份。

漏洞发现

去年9月，因为我用了将近7年的Macbook Pro已经快要罢工了，所以，我打算重新购买一台性价比高的笔记本电脑，最终我选择了戴尔的G3 15。笔记本电脑入手之后，我把其中的1TB普通硬盘换成了固态硬盘，在安装完Windows系统后，我想从戴尔官网上更新驱动，这时我发现了一件有意思的事，当我访问戴尔的技术支持网站时，会跳出一个如下图的选项：

其中有两种提示，一是告诉用户需要输入戴尔电脑设备的服务标签、产品序列号和型号等等信息，另外一种是直接选择“Detect PC”（探测电脑）自动识别。

Detect PC？自动识别？哦，这有点意思，它如何来识别我的电脑？出于好奇，我就点击了“Detect PC”按钮，看看会发生什么。

点击之后，跳出来了一个SupportAssist程序的安装选项。尽管这是一个便利工具，但我还是有点点不放心，由于我当前系统是新装系统，代理商系统已经被我革除。但为了进一步对该应用进行分析，我还是决定装装试试。该程序声称安装完成之后，可以完全更新我的驱动并使电脑系统保持更新。

SupportAssist程序安装很简单，勾选上述选框，点击下载安装就行。安装完成之后，SupportAssist会在后台创建并启动名为SupportAssistAgent和Dell Hardware Support的服务项。初略看来，这两个服务进程看似为.NET程序，很容易被逆向分析。安装完后，我就重新访问戴尔技术支持网站，看看它能探测到什么东东？果然，这次出现的是以下驱动探测选项（ “Detect Drivers”） ：

为了更好的分析，我开启了Chrome浏览器的网络分析工具Web Inspector，打开了其中的Network按钮进行监视，接着，我就点击了上述选项页面中的 “Detect Drivers” 按钮，看看会有什么情况：

经分析发现，戴尔技术支持网站此时会向我本机请求一个由SupportAssistAgent服务开启的8884端口，另外，我本机经由一个REST API和向戴尔技术支持网站发起各种通信请求，而且，在戴尔网站的响应中也设置了只有https://www.dell.com网站标记的Access-Control-Allow-Origin访问控制策略。

在我的浏览器端，SupportAssist客户端程序通过请求https://www.dell.com/support/home/us/en/04/drivers/driversbyscan/getdsdtoken，生成一个签名对各种命令进行验证。驱动探测完成后，点击网页中的驱动下载按钮，其请求消息有点奇怪。其请求消息头如下：

POST 源码为：

<h1>CVE-2019-3719</h1><h1>Nothing suspicious here... move along...</h1><iframe src="http://www.dellrce.dell.com" style="width: 0; height: 0; border: 0; border: none; position: absolute;"></iframe>

具体的漏洞利用工具参见Github：https://github.com/D4stiny/Dell-Support-Assist-RCE-PoC

漏洞上报进程

2018.10.26 向Dell进行漏洞初报

2018.10.29 Dell给出回应，验证漏洞

2018.11.22 Dell验证漏洞

2018.11.29 Dell计划在2019年初给出暂时性修复补丁

2019.1.28 Dell告知漏洞公布延迟至3月

2019.3.13 Dell修复计划滞后，漏洞公布延期至4月

2019.4.18 Dell发出漏洞公告CVE-2019-3718

2019.4.30 我公开漏洞

*参考来源：d4stiny，clouds编译，转载自FreeBuf.COM