본문 바로가기

벌새::Security

보안 취약점에 노출된 "Dell System Detect" 구버전 사용 주의 (2015.4.7)

반응형

델(Dell) 컴퓨터 및 태블릿(Tablet) PC에 사전 설치된 "Dell System Detect (DSD)" 프로그램에서 악의적으로 조작된 웹 사이트 접속시 원격 코드 실행이 가능한 보안 취약점 문제가 발견되었다는 소식입니다.

출처 : 체크잇(CheckIt) 프로그램 정보 - http://www.checkitinfo.com/ranking_detail.jsp?name=Dell%20System%20Detect

"Dell System Detect (DSD)" 프로그램은 제품 및 드라이버 진단 및 업데이트, 시스템 검사를 통한 지원 기능을 제공하는 소프트웨어로 델(Dell) 제품 구입시 필수적으로 설치되어 판매가 이루어지고 있습니다.

그런데 2014년 11월 11일경 보안 연구가에 의해 "Dell System Detect (DSD)" 구버전 제품에서 심각한 보안 취약점을 통해 사용자 몰래 악성 프로그램을 설치하여 실행할 수 있는 보안 문제를 발견하여 2014년 11월 14일 Dell 업체에 보고를 하였습니다.

이에 따라 Dell 업체에서는 해당 보안 문제를 확인하고 2014년 12월 9일과 2015년 3월 25일에 보안 패치를 통해 Dell System Detect 6.0.14 버전으로 업데이트하였습니다.

 

■ 2014년 12월 9일 : Dell System Detect Security Update - Dell System Detect 6.0.9 버전

  1. ".dell." 도메인 이외의 요청 허용 불능 및 "/support/"이 포함된 호스트 이름을 참조 확인
  2. Dell System Detect (DSD) 바이너리를 암호화 처리를 통해 난독화
  3. Dell System Detect (DSD) 서명 사용

■ 2015년 3월 25일 : Dell System Detect Security Update - Dell System Detect 6.0.14 버전

  1. ".dell.com" 이외의 어떠한 요청도 차단
  2. "downloads.dell.com" 또는 "ftp.dell.com" 이외의 어떠한 파일 다운로드 허용 안함
  3. 난독화 수준 향상

이번에 이슈가 된 "Dell System Detect (DSD)" 구버전 프로그램의 보안 취약점 문제는 시스템 시작시 자동 실행되는 서비스 값이 localhost:8884 HTTP 요청을 Listening하도록 설정되어 있으며, 이로 인하여 공격자는 악의적으로 조작된 웹 사이트로 사용자의 접속을 유도하여 손쉽게 파일 다운로드 및 실행을 원격을 통해 수행할 수 있습니다.

특히 F-Secure 보안 업체에서는 보안 패치가 적용된 Dell System Detect 6.0.14 버전 사용자는 극히 적으며, 대부분 해당 보안 취약점에 노출된 구버전(Dell System Detect 5.x.x.x 버전)을 사용하고 있음을 강조하고 있습니다.

출처 : F-Secure

또한 최초 보안 패치가 이루어진 Dell System Detect 6.0.9 버전에서도 도메인에 ".dell."이 포함된 가짜 웹 사이트에서 원격 코드 실행이 가능하다는 문제를 공개하면서 최근에 보안 패치를 추가적으로 적용하게 되었습니다.

그러므로 델(Dell) 업체에서 판매하는 PC를 구매한 모든 사용자는 제어판에 등록된 "Dell System Detect" 프로그램을 삭제하시거나 지속적인 드라이버 업데이트 지원 등을 위해서는 최신 버전(6.0.14 버전)으로 업데이트하시고 제품을 사용하시기 바랍니다.

참고로 해당 보안 이슈로 인하여 Malwarebytes 보안 제품에서는 "Dell System Detect (DSD)" 구버전에 대하여 PUP 진단을 통해 프로그램을 삭제하도록 지원하고 있다는 소식도 있습니다.

728x90
반응형