Ordenadores Dell vulnerables por el software preinstalado

Se han reportado tres vulnerabilidades en ordenadores Dell que podrían
permitir a atacantes desactivar protecciones de seguridad, elevar
privilegios y ejecutar código arbitrario. Una vez más los problemas
residen en el software propietario preinstalado por Dell.

El software propietario preinstalado por los fabricantes, también
conocido como “bloatware”, suele ser causa habitual de problemas junto
con un consumo innecesario de espacio y recursos. Pero además, no suele
estar exento de vulnerabilidades que pueden llegar a comprometer
gravemente la seguridad de los sistemas.

Los problemas han sido anunciados por el investigador Marcin ‘Icewall’
Noga del equipo Cisco Talos y antiguo compañero de Hispasec. Los
problemas se encuentran en el software de servicio Dell Precision
Optimizer y en Invincea-X e Invincea Dell Protected Workspace.

El primer problema, con CVE-2016-9038, reside en una doble búsqueda en
el controlador SboxDrv.sys. La vulnerabilidad se puede explotar mediante
el envío de datos específicos al controlador de dispositivo
\Device\SandboxDriverApi que es accesible para todos como de lectura y
escritura. Esto puede permitir la escritura de un valor arbitrario en el
espacio de memoria del kernel, que puede conducir a la escalada de
privilegios locales. Afecta a Invincea-X y Dell Protected Workspace
6.1.3-24058.

Por otra parte, con CVE-2016-8732, múltiples vulnerabilidades en uno de
los componentes del controlador ‘InvProtectDrv.sys’ incluido en la
versión 5.1.1-22303 de Invincea Dell Protected Workspace; una solución
de seguridad ofrecida por Dell que pretende proporcionar una protección
mejorada para los puntos finales. Los problemas residen en las débiles
restricciones en el canal de comunicaciones del controlador, así como a
una validación insuficiente. De forma que un atacante podría aprovechar
este controlador para desactivar algunos de los mecanismos de protección
proporcionados por el software. Afecta a Invincea Dell Protected
Workspace 5.1.1-22303. Esta vulnerabilidad está corregida en la versión
6.3.0 del software.

Por último, con CVE-2017-2802, un problema de carga de librerías en la
aplicación Dell Precision Optimizer. Durante el arranque del servicio
‘Dell PPO Service’, incluido en la aplicación Dell Precision Optimizer,
el programa ‘c:\Archivos de programa\Dell\PPO\poaService.exe’ carga la
dll, ‘c:\Archivos de programa\Dell\PPO\ati.dll’. Que a su vez intenta
cargar ‘atiadlxx.dll’, que no está presente de forma predeterminada en
el directorio de la aplicación. El programa buscará la DLL en los
directorios especificados por la variable de entorno PATH. Si encuentra
una dll con el mismo nombre, se cargará la dll en poaService.exe sin
comprobar la firma de la dll. Esto puede llevar a la ejecución de código
arbitrario si un atacante suministra una DLL malintencionada con el
nombre correcto.

Afecta a Dell Precision Tower 5810 con tarjeta gráfica nvidia, PPO
Policy Processing Engine (3.5.5.0), ati.dll (PPR Monitoring Plugin)
(3.5.5.0). Dell ha publicado una actualización para solucionar este
problema. Todas las versiones desde la v4.0 no son vulnerables.

No es la primera vez que ocurre algo así, podemos recordar el caso
Superfish en Lenovo y a la propia Dell con dos certificados raíz
preinstalados.

La experiencia de Concha y Toro con Pure Storage

Durante Pure Acccelarate tuvimos la oportunidad de entrevistar a Antonio Pinilla, jefe de Operaciones de Redes de Infraestructura de la viña chilena, quien dio cuenta de los significativos cambios logrados desde que han migrado su almacenamiento a la propuesta 100% flash de la compañía californiana. Cobertura especial desde San Francisco.

Pinilla tiene a cargo el almacenamiento y la virtualización de los servidores donde se ejecutan todos los procesos de negocios de la viña, además de todo lo relacionado con redes y seguridad. “Concha y Toro es una de las viñas más importantes en Chile, con presencia en 147 países, donde se están consumiendo nuestros vinos, y contamos con alrededor de 12 oficinas a nivel mundial, incluyendo Brasil, Reino Unido y otros países de Europa. Somos una de las que tiene una gran cantidad de superficie de plantaciones de uva, y una de nuestras marcas emblemáticas es Casillero del Diablo”, fue la presentación de la empresa realizada por el entrevistado.

En 2016, la empresa inició un proceso de análisis de sus procesos relacionados con almacenamiento: “Buscábamos tener una solución que nos permitiera generar ahorros y, además, que nos permitiera generar mayores beneficios. Hicimos un estudio de varios proveedores del mercado que nos indicaron que el más indicado para poder avanzar en ese proyecto era Pure Storage”, relató Pinilla.

Para que Pure Storage se adjudicara la licitación, según explicó el entrevistado, fue decisiva su participación en eventos del vendor, donde pudo conocer diferentes casos de éxito: “Era lo que nosotros buscábamos tener también en nuestra organización”, aseguró. “Tuvieron resultados rápidamente, y los equipamientos que tenían cumplían los requerimientos que nosotros estábamos solicitando, como la latencia de menos de un milisegundo, métricas que nos llamaron mucho la atención”, enfatizó.

Desafíos

Para Concha y Toro había dos principales desafíos en los cuales se sustentaba el caso de negocios presentado al directorio y al comité de inversiones de la empresa: poder generar un ahorro en cuanto a la operación del almacenamiento, ya que “estábamos gastando mucho dinero”, según reconoció el ejecutivo; y ser más eficientes en los procesos, de manera de poder tener una administración más fácil, y una mayor visibilidad en cuanto a lo que estaba pasando con el almacenamiento, cuál era el consumo, cómo se estaban comportando los datos al interior del storage y cuál era la velocidad con la que el usuario podía acceder a esa información.

“Buscábamos performance, tener una plataforma que pudiera entregar una latencia de menos de un milisegundo, métricas que son las que realmente ven los usuarios, en la forma en que ellos acceden a una aplicación, están ejecutando una transacción en SAP y se les despliega mucho más rápido, esas sensaciones nosotros buscábamos generar en nuestros usuarios y lo logramos”, destacó Pinilla. “Pero no todo es velocidad; había también otros atributos que perseguíamos, como tener control, visualización y poder contar con una herramienta que mantuviera los datos encriptados”, completó.

La implemetación

El proyecto requirió la adquisición de dos equipos, un Flash Array M50 para producción y un M20 para el ERP, para sus dos Data Centers de Chile que entregan servicio a las oficinas de los diferentes países.

“En Pure Storage tenemos SAP, el módulo del ERP y de Contact Center; y VMWare. El proceso de migración partió con VMWare. Teníamos plataforma y storage HP, trasladamos todo a Pure y a partir de ese momento ya comenzamos a ver las mejoras en la forma en que levantábamos las máquinas virtuales, luego partimos con los ambientes de SAP de desarrollo y de test, participando con todo el equipo funcional de SAP, ellos estaban haciendo pruebas con nosotros, sacamos métricas de cómo se estaban comportando esos procesos en el storage anterior, y cuando pasamos a Pure Storage y realmente fue impresionante, muy bueno, y eso nos motivaba”, relató Pinilla.

Por otra parte, el entrevistado hizo especial hincapié en que Concha y Toro pudo hacer esta migración sin afectar al usuario: “Se fue el día viernes a su casa y el lunes llegó a trabajar en un Ferrari, porque andaba mucho más rápido”, graficó.

Más en detalle, contó que la decisión fue hacer la primera actualización un día domingo, justamente con el objetivo de no afectar al usuario. “La verdad es que nos demoramos como media hora en hacer la del Pure M50, después hicimos el Pure M20: simplemente activamos el check para que soporte pueda tomar el control de la máquina, y lo hacen ellos remotamente, y el usuario no se dio por enterado de que se hizo un upgrade”.

El soporte

En este punto también el ejecutivo no tuvo más que elogios para Pure Storage: “Cuando he tenido dudas o problemas llamo y me contestan ‘a tiro’, y me despejan la duda inmediatamente. Cuando estuvimos haciendo el rackeo de los equipos, Luis Santana (Senior Systems Engineer del vendor en Chile) estuvo con nosotros, a pesar de que habíamos contratado a otra empresa para que nos apoyara en la implementación, pero de todas formas Pure Storage estuvo encima; durante los procesos de migración, fueron sábados y domingos enteros. Nada que decir, es uno de los mejores proveedores con los que me ha tocado trabajar”, remarcó.

Finalmente, Pinilla adelantó que el plan de la empresa es seguir avanzando en este proceso de migración con infraestructura que aún no trabaja sobre Pure Storage: “Con este proyecto nosotros no buscábamos tener un storage para SAP, buscábamos tener un storage empresarial, que fuera capaz de tener toda la información de la compañía, de manera de poder ahorrar costos de administración, de servicios y de soporte”, concluyó.