Forscher haben eine Reihe von Schwachstellen entdeckt, die miteinander verkettet werden können, um Codeausführungsangriffe auf Dell-Maschinen durchzuführen.
Am Donnerstag teilte Eclypsium mit, dass die Schwachstellen, die zusammen einer kritischen Kette mit einem kumulativen CVSS-Score von 8,3 entsprechen, in der BIOSConnect-Funktion von Dell SupportAssist entdeckt wurden.
Insgesamt könnten die Sicherheitslücken ausgenutzt werden, um sich als Dell.com auszugeben und die BIOS/UEFI-Ebene in insgesamt 128 Dell-Laptops, -Tablets und -Desktop-Modellen anzugreifen, einschließlich solcher mit aktiviertem Secure Boot und Secured- Core-PCs, die Millionen von Privat- und Geschäftsanwendern gehören.
Laut Eclypsium “würde ein solcher Angriff es Angreifern ermöglichen, den Boot-Prozess des Geräts zu kontrollieren und das Betriebssystem und die Sicherheitskontrollen auf höheren Ebenen zu unterlaufen”.
Dell SupportAssist, häufig auf Windows-basierten Dell-Computern vorinstalliert, wird verwendet, um Supportfunktionen einschließlich Fehlerbehebung und Wiederherstellung zu verwalten. Die BIOSConnect-Funktion kann verwendet werden, um ein Betriebssystem im Falle einer Beschädigung wiederherzustellen sowie die Firmware zu aktualisieren.
Zu diesem Zweck verbindet sich die Funktion mit der Cloud-Infrastruktur von Dell, um angeforderten Code auf das Gerät eines Benutzers zu übertragen.
Die Forscher entdeckten dabei vier Schwachstellen, die es “einem privilegierten Netzwerkangreifer ermöglichen würden, im BIOS anfälliger Maschinen willkürlichen Code auszuführen”.
Das erste Problem besteht darin, dass, wenn BIOSConnect versucht, eine Verbindung mit dem Back-End-HTTP-Server von Dell herzustellen, jedes gültige Wildcard-Zertifikat akzeptiert wird Gerät.”
Darüber hinaus fand das Team einige HTTPS-Boot-Konfigurationen, die denselben zugrunde liegenden Verifizierungscode verwenden, wodurch sie möglicherweise ausgenutzt werden können.
Drei unabhängige Schwachstellen, die als Overflow-Bugs bezeichnet werden, wurden von den Forschern ebenfalls aufgedeckt. Zwei wirkten sich auf den Wiederherstellungsprozess des Betriebssystems aus, während der andere im Firmware-Update-Mechanismus vorhanden war. In jedem Fall könnte ein Angreifer im BIOS willkürlichen Code ausführen.
Die technischen Details dieser Schwachstellen werden jedoch erst bei einer bevorstehenden DEFCON-Präsentation im August bekannt gegeben.
“Ein Angriffsszenario würde erfordern, dass ein Angreifer den Datenverkehr des Opfers umleiten kann, beispielsweise über einen Machine-in-the-Middle (MITM)-Angriff”, sagen die Forscher. “Eine erfolgreiche Kompromittierung des BIOS eines Geräts würde einem Angreifer ein hohes Maß an Kontrolle über ein Gerät geben. Der Angreifer könnte den Prozess des Ladens des Host-Betriebssystems kontrollieren und Schutzmaßnahmen deaktivieren, um unentdeckt zu bleiben.”
Eclypsium schloss seine Untersuchung der Software von Dell am 2. März ab und benachrichtigte Dell PSIRT einen Tag später, das den Bericht bestätigte. Der Hersteller hat seitdem eine Sicherheitsempfehlung herausgegeben und BIOS/UEFI-Updates für betroffene Systeme geplant.
Besitzer von Dell-Geräten sollten BIOS/UEFI-Updates akzeptieren, sobald sie verfügbar sind – und Patches sollen heute veröffentlicht werden. Der Anbieter hat auch Möglichkeiten zur Minderung bereitgestellt, wie in der Beratung des Unternehmens beschrieben.
„Dell hat mehrere Schwachstellen für Dell BIOSConnect- und HTTPS-Boot-Funktionen behoben, die bei einigen Dell Client-Plattformen verfügbar sind“, sagte Dell gegenüber ZDNet. “Die Funktionen werden automatisch aktualisiert, wenn Kunden die automatischen Updates von Dell aktiviert haben. Wir empfehlen unseren Kunden, die Dell Sicherheitsempfehlung (DSA-2021-106) zu lesen, um weitere Informationen zu erhalten. Wenn automatische Updates nicht aktiviert sind, befolgen Sie die Schritte zur Fehlerbehebung. Vielen Dank an die Eclypsium-Forscher für die direkte Zusammenarbeit mit uns, um das Problem zu lösen.”
Frühere und verwandte Berichterstattung
Diese seltsame Sicherheitslücke im Speicherchip ist noch schlimmer, als wir dachten
Die durchschnittliche Zeit zur Behebung kritischer Cybersicherheitslücken beträgt 205 Tage: Bericht
Kritische Zoom-Sicherheitslücke löst Remotecode aus Ausführung ohne Benutzereingaben
Haben Sie einen Tipp? Kontaktieren Sie uns sicher über WhatsApp | Signal unter +447713 025 499 oder drüben bei Keybase: charlie0
Verwandte Themen:
Dell Security TV Data Management CXO Data Centers 