Chyby BIOS PrivEsc ovplyvňujú stovky miliónov počítačov Dell na celom svete

Výrobca počítačov Dell vydal aktualizáciu na opravu viacerých kritických nedostatkov pri eskalácii privilégií, ktoré boli od roku 2009 nezistené, čo útočníkom potenciálne umožňuje získať privilégiá v režime jadra a spôsobiť odmietnutie služby.

Problémy, ktoré spoločnosti Dell oznámili výskumníci zo SentinelOne v decembri. 1, 2020, sa nachádza v ovládači aktualizácie firmvéru s názvom „dbutil_2_3.sys“, ktorý je predinštalovaný na jeho zariadeniach. Stovky miliónov stolných počítačov, notebookov, notebookov a tabletov vyrobených spoločnosťou sú údajne zraniteľné.

“Ovládač Dell dbutil_2_3.sys obsahuje nedostatočnú zraniteľnosť riadenia prístupu, ktorá môže viesť k eskalácii privilégií, odmietnutiu služby alebo zverejneniu informácií. Vyžaduje sa lokálny overený používateľský prístup,” uviedol Dell v upozornení.

Všetkým piatim samostatným chybám bol priradený CVE identifikátor CVE-2021-21551 so skóre CVSS 8.8. Rozdelenie nedostatkov je nasledovné –

  • CVE-2021-21551: Local Elevation Of Privileges #1 – Poškodenie pamäte
  • CVE-2021-21551: Local Elevation Of Privileges #2 – Poškodenie pamäte
  • CVE-2021-21551: Local Elevation Of Privileges #3 – Nedostatok overenia vstupu
  • CVE-2021-21551: Local Elevation Of Privileges #4 – Nedostatok overenia vstupu
  • CVE-2021-21551: Denial Of Service – Problém s logikou kódu

„Veľmi závažné chyby by mohli umožniť každému používateľovi počítača, dokonca aj bez privilégií, zvýšiť svoje privilégiá a spustiť kód v režime jadra,“ poznamenal Kasif Dekel, senior bezpečnostný výskumník SentinelOne v utorkovej analýze. “Medzi zjavné zneužitie takýchto zraniteľností patrí, že by sa dali použiť na obídenie bezpečnostných produktov.”

Keďže ide o chyby eskalácie miestnych privilégií, je nepravdepodobné, že by sa dali zneužiť na diaľku cez internet. Na vykonanie útoku bude musieť protivník získať prístup k účtu, ktorý nie je správcom, v zraniteľnom systéme, po čom môže byť zraniteľnosť ovládača zneužitá na získanie lokálneho zvýšenia oprávnení. Útočník, vyzbrojený týmto prístupom, môže potom využiť iné techniky na spustenie ľubovoľného kódu a bočný pohyb cez sieť organizácie.

Hoci sa nezistili žiadne dôkazy o zneužívaní vo voľnej prírode, SentinelOne uviedol, že plánuje zverejniť kód proof-of-concept (PoC) v júni. 12021, čo dáva zákazníkom spoločnosti Dell dostatok času na nápravu tejto zraniteľnosti.

Podľa hlavného architekta Crowdtrike Alexa Ionescu je odhalenie SentinelOne už tretíkrát, čo bol rovnaký problém oznámený spoločnosti Dell za posledné dva roky, najprv spoločnosťou zaoberajúcou sa kybernetickou bezpečnosťou so sídlom v Sunnyvale v roku 2019 a znova IOActive. Dell tiež pripísal Scottovi Nooneovi z OSR Open Systems Resources nahlásenie tejto zraniteľnosti.