I ricercatori hanno scoperto una serie di vulnerabilità che possono essere concatenate per eseguire attacchi di esecuzione di codice sui computer Dell.
Giovedì, Eclypsium ha dichiarato che le vulnerabilità, che insieme equivalgono a una catena critica con un punteggio CVSS cumulativo di 8,3, sono state scoperte nella funzione BIOSConnect all'interno di Dell SupportAssist.
Complessivamente, le falle di sicurezza potrebbero essere sfruttate per impersonare Dell.com e attaccare il livello BIOS/UEFI in un totale di 128 laptop, tablet e modelli desktop Dell, inclusi quelli con Secure Boot abilitato e Secured- PC core, di proprietà di milioni di consumatori e utenti aziendali.
Secondo Eclypsium, “un tale attacco consentirebbe agli avversari di controllare il processo di avvio del dispositivo e sovvertire il sistema operativo e i controlli di sicurezza di livello superiore”.
Dell SupportAssist, spesso preinstallato sui computer Dell basati su Windows, viene utilizzato per gestire le funzioni di supporto, tra cui la risoluzione dei problemi e il ripristino. La funzione BIOSConnect può essere utilizzata per ripristinare un sistema operativo in caso di danneggiamento e per aggiornare il firmware.
Per fare ciò, la funzione si connette all'infrastruttura cloud di Dell per estrarre il codice richiesto sul dispositivo di un utente.
I ricercatori hanno scoperto quattro vulnerabilità in questo processo che consentirebbero “a un utente malintenzionato di rete privilegiato di ottenere l'esecuzione di codice arbitrario all'interno del BIOS di macchine vulnerabili”.
Il primo problema è che quando BIOSConnect tenta di connettersi al server HTTP di backend di Dell, viene accettato qualsiasi certificato jolly valido, “consentendo a un utente malintenzionato di impersonare Dell e di restituire alla vittima il contenuto controllato dall'aggressore dispositivo.”
Inoltre, il team ha trovato alcune configurazioni di avvio HTTPS che utilizzano lo stesso codice di verifica sottostante, rendendole potenzialmente sfruttabili.
I ricercatori hanno scoperto anche tre vulnerabilità indipendenti, descritte come bug di overflow. Due hanno influito sul processo di ripristino del sistema operativo, mentre l'altro era presente nel meccanismo di aggiornamento del firmware. In ogni caso, un utente malintenzionato potrebbe eseguire l'esecuzione di codice arbitrario nel BIOS.
Tuttavia, i dettagli tecnici di queste vulnerabilità non saranno divulgati fino alla prossima presentazione di DEFCON ad agosto.
“Uno scenario di attacco richiederebbe che un utente malintenzionato sia in grado di reindirizzare il traffico della vittima, ad esempio tramite un attacco Machine-in-the-Middle (MITM)”, affermano i ricercatori. “Compromettere con successo il BIOS di un dispositivo darebbe a un utente malintenzionato un alto grado di controllo su un dispositivo. L'attaccante potrebbe controllare il processo di caricamento del sistema operativo host e disabilitare le protezioni per non essere rilevato”.
Eclypsium ha completato la sua indagine sul software di Dell il 2 marzo e ha informato Dell PSIRT il giorno dopo, che ha riconosciuto il rapporto. Da allora il fornitore ha emesso un avviso di sicurezza e ha programmato aggiornamenti BIOS/UEFI per i sistemi interessati.
I proprietari di dispositivi Dell dovrebbero accettare gli aggiornamenti BIOS/UEFI non appena disponibili e le patch dovrebbero essere rilasciate oggi. Il venditore ha anche fornito opzioni di mitigazione, come dettagliato nella consulenza dell'azienda.
“Dell ha risolto molteplici vulnerabilità per le funzionalità Dell BIOSConnect e HTTPS Boot disponibili con alcune piattaforme client Dell”, ha dichiarato Dell a ZDNet. “Le funzionalità verranno aggiornate automaticamente se i clienti hanno attivato gli aggiornamenti automatici di Dell. Incoraggiamo i clienti a consultare il Dell Security Advisory (DSA-2021-106) per ulteriori informazioni e, se gli aggiornamenti automatici non sono abilitati, seguire i passaggi di riparazione al più presto. Grazie ai ricercatori di Eclypsium per aver lavorato direttamente con noi per risolvere il problema.”
Copertura precedente e correlata
Questa strana vulnerabilità del chip di memoria è persino peggiore di quanto pensassimo
Il tempo medio per correggere le vulnerabilità critiche della sicurezza informatica è di 205 giorni: rapporto
La vulnerabilità Critical Zoom attiva il codice remoto esecuzione senza input dell'utente
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al numero +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Data Center CXO per la gestione dei dati di Dell Security TV 