Onderzoekers hebben een reeks kwetsbaarheden ontdekt die aan elkaar kunnen worden gekoppeld om code-uitvoeringsaanvallen op Dell-machines uit te voeren.
Donderdag zei Eclypsium dat de kwetsbaarheden, die samen gelijk staan aan een kritieke keten met een cumulatieve CVSS-score van 8,3, zijn ontdekt in de BIOSConnect-functie binnen Dell SupportAssist.
In totaal zouden de beveiligingsfouten kunnen worden misbruikt om zich voor te doen als Dell.com en het BIOS/UEFI-niveau aan te vallen op in totaal 128 Dell laptops, tablets en desktopmodellen, inclusief die met Secure Boot ingeschakeld en Secured-core pc's, die eigendom zijn van miljoenen consumenten en zakelijke gebruikers.
Volgens Eclypsium “zou een dergelijke aanval kwaadwillenden in staat stellen het opstartproces van het apparaat te controleren en het besturingssysteem en hogere beveiligingscontroles te ondermijnen.”
Dell SupportAssist, vaak vooraf geïnstalleerd op Windows-gebaseerde Dell-machines, wordt gebruikt om ondersteuningsfuncties te beheren, waaronder probleemoplossing en herstel. De BIOSConnect-faciliteit kan worden gebruikt om een besturingssysteem te herstellen in geval van corruptie en om firmware bij te werken.
Om dit te doen, maakt de functie verbinding met de cloudinfrastructuur van Dell om de gevraagde code naar het apparaat van een gebruiker te halen.
De onderzoekers ontdekten vier kwetsbaarheden in dit proces waardoor “een bevoorrechte netwerkaanvaller willekeurige code-uitvoering binnen het BIOS van kwetsbare machines” zou kunnen krijgen.
Het eerste probleem is dat wanneer BIOSConnect probeert verbinding te maken met de back-end HTTP-server van Dell, elk geldig wildcard-certificaat wordt geaccepteerd, “waardoor een aanvaller zich kan voordoen als Dell en door de aanvaller gecontroleerde inhoud terug kan sturen naar het apparaat van het slachtoffer.”
Bovendien vond het team enkele HTTPS-opstartconfiguraties die dezelfde onderliggende verificatiecode gebruiken, waardoor ze mogelijk misbruikt konden worden.
Drie onafhankelijke kwetsbaarheden, beschreven als overloopbugs, werden ook ontdekt door de onderzoekers. Twee hadden invloed op het herstelproces van het besturingssysteem, terwijl de andere aanwezig was in het firmware-updatemechanisme. In elk geval kan een aanvaller willekeurige code uitvoeren in het BIOS.
De technische details van deze kwetsbaarheden worden echter pas bekendgemaakt tijdens een aanstaande DEFCON-presentatie in augustus.
“Een aanvalsscenario zou vereisen dat een aanvaller het verkeer van het slachtoffer kan omleiden, bijvoorbeeld via een Machine-in-the-Middle (MITM) -aanval”, zeggen de onderzoekers. “Het succesvol compromitteren van het BIOS van een apparaat zou een aanvaller een hoge mate van controle over een apparaat geven. De aanvaller zou het proces van het laden van het hostbesturingssysteem kunnen controleren en beveiligingen kunnen uitschakelen om onopgemerkt te blijven.”
Eclypsium rondde zijn onderzoek naar de software van Dell op 2 maart af en bracht een dag later Dell PSIRT op de hoogte, die het rapport bevestigde. De leverancier heeft sindsdien een beveiligingsadvies uitgebracht en heeft BIOS/UEFI-updates gepland voor getroffen systemen.
Eigenaars van Dell-apparaten moeten BIOS/UEFI-updates accepteren zodra ze beschikbaar zijn – en patches worden vandaag uitgebracht. De verkoper heeft ook mitigatie-opties geboden, zoals beschreven in het advies van het bedrijf.
“Dell heeft meerdere kwetsbaarheden verholpen voor Dell BIOSConnect en HTTPS Boot-functies die beschikbaar zijn bij sommige Dell Client-platforms”, vertelde Dell aan ZDNet. “De functies worden automatisch bijgewerkt als klanten automatische updates van Dell hebben ingeschakeld. We raden klanten aan om het Dell beveiligingsadvies (DSA-2021-106) te lezen voor meer informatie, en als automatische updates niet zijn ingeschakeld, volgt u de herstelstappen zo snel mogelijk. Dank aan de Eclypsium-onderzoekers voor hun directe samenwerking met ons om het probleem op te lossen.”
Eerdere en gerelateerde berichtgeving
Deze vreemde kwetsbaarheid in de geheugenchip is nog erger dan we ons realiseerden
Gemiddeld tijd om kritieke cyberbeveiligingskwetsbaarheden te verhelpen is 205 dagen: rapport
Kritieke Zoom-kwetsbaarheid activeert externe codeuitvoering zonder invoer van de gebruiker
Heeft u een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Dell Security TV Data Management CXO Datacenters 