戴尔驱动软件曝存在12年的高危提权漏洞,数亿设备受影响

当地时间5月4日,戴尔设备的所有者被告知,许多系统上存在的固件更新驱动程序受到一系列严重漏洞的影响。自2009年以来,这些高度严重的漏洞一直存在于戴尔设备中,影响着全球数亿台设备和数百万用户。

戴尔驱动软件曝存在12年的高危提权漏洞,数亿设备受影响

当地时间5月4日,戴尔设备的所有者被告知,许多系统上存在的固件更新驱动程序受到一系列严重漏洞的影响。

戴尔驱动软件曝存在12年的高危提权漏洞,数亿设备受影响

戴尔表示,这些漏洞是由访问控制问题不足引起的,可被本地认证的攻击者利用,用于特权升级、拒绝服务(DoS)或信息泄露。

这家科技巨头将报告安全漏洞的功劳归功于CrowdStrike、OSR Open Systems Resources、IOActive和SentinelOne的研究人员。

SentinelOne表示,它一共发现了5个漏洞,其中4个可以被用于特权升级,1个可以被用于DoS攻击。该公司将其原因描述为内存损坏、缺乏输入验证和代码逻辑问题。

戴尔驱动软件曝存在12年的高危提权漏洞,数亿设备受影响

如果被用于特权升级,对目标设备具有任何类型访问权的攻击者可以执行具有内核模式权限的任意代码。

这家终端安全公司在一篇博客文章中表示:“这些漏洞的明显滥用包括,它们可能被用来绕过安全产品。”详细的技术细节可参阅SentinelOne的博文。(https://labs.sentinelone.com/cve-2021-21551-hundreds-of-millions-of-dell-computers-at-risk-due-to-multiple-bios-driver-privilege-escalation-flaws/)。

这些漏洞被统称为CVE-2021-21551,只能在Windows系统上被利用。在针对这些bug发布的FAQ文档中,戴尔明确表示Linux不受影响。

戴尔公司表示,有问题的驱动程序名为dbutil_2_3.sys,是通过各种固件更新实用程序包交付的,这包括BIOS更新、Thunderbolt固件更新、TPM固件更新和码头固件更新实用程序-以及其他类型的工具。

当使用受影响的实用程序时,该驱动程序被安装在戴尔设备上。列表包括“戴尔命令更新”、“戴尔更新”、“Alienware更新”、“戴尔系统库存代理”和“戴尔平台标签”。

SentinelOne认为,该驱动存在于全球数亿台戴尔台式机、笔记本、笔记本和平板设备上。

戴尔已经发布了补丁,并建议用户立即删除有漏洞的驱动程序文件。该公司列出了数百种可能受到影响的产品。

SentinelOne表示,该易受攻击的驱动程序可能会出现在2009年以来由戴尔发货的设备上。然而,没有证据表明它已被恶意攻击所利用。

SentinelOne公司在文章中列出了该漏洞的影响,主要表现为:

这种严重的缺陷可能允许计算机上的任何用户,即使没有特权,也可以升级他们的特权,并在内核模式下运行代码。这些漏洞的明显滥用之一是,它们可能被用来绕过安全产品。

能够访问组织网络的攻击者还可能获得在未打补丁的Dell系统上执行代码的访问权,并利用此漏洞获得本地特权提升。攻击者可以利用其他技术转向更广泛的网络,比如横向移动。

给出的缓解建议:

此漏洞及其补救措施在戴尔安全咨询DSA-2021-088中描述。我们建议戴尔的企业和消费者客户尽快应用该补丁。

虽然戴尔发布了一个补丁(一个固定的驱动程序),但请注意(在编写该证书时)证书还没有被撤销。这不是最佳实践,因为脆弱的驱动程序仍然可以用于前面提到的BYOVD攻击。有关完整的补救细节,请参阅戴尔安全建议。

SentinelOne最后表示,自2009年以来,这些高度严重的漏洞一直存在于戴尔设备中,影响着全球数亿台设备和数百万用户。类似于我之前披露的一个隐藏了12年的漏洞,这可能对没有打补丁的用户和企业造成深远的影响。虽然到目前为止,我们还没有看到任何迹象表明这些漏洞已经被大肆利用,但目前有数亿企业和用户受到攻击,攻击者不可避免地会寻找那些没有采取适当行动的人。我们发表这项研究的原因不仅是为了帮助我们的客户,也是为了帮助社区了解风险并采取行动。我们要感谢戴尔对我们的披露采取的措施,并弥补了漏洞。

SentinelOne披露时间表

2020年12月1日-初步报告

2020年12月2日——戴尔回复

2020年12月8日——戴尔要求提供更多信息

2020年12月9日-戴尔要求提供更多信息

2020年12月22日——戴尔回复说,补丁应该在4月中旬提供

2021年1月12日——戴尔回复称,由于该产品是EOL,因此部分漏洞将无法修复

2021年1月27日——戴尔要求更多的时间

2021年3月16日——戴尔更新称他们正在与微软合作,并将在4月底前提供修复方案

3月29日,2021 -戴尔要求更多的时间,确认更新应该在4月底可用

4月22日,2021 -戴尔发起了一个ZooM电话会议来讨论博客帖子的发布

2021年5月4日-向公众发布初步研究

SentinelOne在博客中称,详细介绍了它的发现,但它只会在下个月分享它的概念验证(PoC)漏洞,让用户有时间来解决这个问题。该公司还发布了一段利用这些漏洞的视频。

视频地址:https://player.vimeo.com/video/544821710?lb-mode=overlay&lb-width=100%&lb-height=100%

本文来源:网空闲话。

<!-- 多条广告如下脚本只需引入一次 -->

版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/3794.html

发表评论

登录后才能评论
跳至工具栏