文章来源:红数位
安全研究人员在Dell SupportAssist的BIOSConnect功能中发现了四个主要安全漏洞,允许攻击者在受影响设备的BIOS中远程执行代码。
根据戴尔的网站, SupportAssist软件“预装在大多数运行Windows操作系统的戴尔设备上”,而BIOSConnect提供远程固件更新和操作系统恢复功能。
Eclypsium研究人员发现的一系列漏洞的CVSS基本得分为8.3/10,使特权远程攻击者能够冒充Dell.com并控制目标设备的启动过程,从而破坏操作系统级安全控制。
“这种攻击将使攻击者能够控制设备的启动过程并破坏操作系统和更高层的安全控制,”Eclypsium研究人员在外媒提前共享的一份报告中解释道。
“该问题影响了129款戴尔型号的消费者和商务笔记本电脑、台式机和平板电脑,包括受安全启动和戴尔安全核心PC保护的设备,”大约有3000万台个人设备受到攻击。
BIOSConnect 攻击场景
研究人员发现了一个导致从BIOS到戴尔的不安全TLS连接(跟踪为 CVE-2021-21571)和三个溢出漏洞(CVE-2021-21572、CVE-2021-21573 和 CVE-2021-21574)的问题。Eclypsium说,其中两个溢出安全漏洞“影响操作系统恢复过程,而另一个影响固件更新过程”。“这三个漏洞都是独立的,每个漏洞都可能导致BIOS中的任意代码执行。”
有关漏洞的更多信息可以在Eclypsium的报告和戴尔咨询中受影响设备型号的完整列表中找到。
(http://www.eclypsium.com/2021/06/24/biosdisconnect
https://www.dell.com/support/kbdoc/000188682)
建议用户不要使用BIOSConnect更新他们的BIOS
根据Eclypsium的说法,用户必须为所有受影响的系统更新系统BIOS/UEFI。研究人员还建议使用SupportAssist的BIOSConnect功能以外的替代方法在他们的设备上应用BIOS更新。戴尔正在为受影响的系统提供BIOS/UEFI更新,并在Dell.com上提供受影响的可执行文件的更新。
CVE-2021-21573和CVE-2021-21574不需要额外的客户操作,因为它们已于2021年5月28日在服务器端解决。但是,CVE-2021-21571和CVE-2021-21572漏洞需要戴尔客户端BIOS更新要完全解决。无法立即更新系统的用户可以从BIOS设置页面或使用Dell Command禁用 BIOSConnect 配置 (DCC)的远程系统管理工具。
研究人员总结道:“此处涵盖的特定漏洞允许攻击者远程利用主机的UEFI固件并控制设备上的最高特权代码。”“这种远程可利用性和高权限的结合可能会使远程更新功能成为未来攻击者的诱人目标,组织应确保相应地监控和更新他们的设备。”
戴尔软件受到严重缺陷的困扰
这不是戴尔计算机的所有者第一次受到SupportAssist软件中发现的安全漏洞的攻击。
两年前,也就是2019年5月,该公司修补了另一个由安全研究员Bill Demirkapi于2018年报告的由不当的来源验证漏洞引起的高严重性 SupportAssist 远程代码执行 (RCE) 漏洞。此RCE允许与目标系统位于同一网络访问层的未经身份验证的攻击者在未打补丁的设备上远程执行任意可执行文件。
安全研究员Tom Forbes于2015年在戴尔系统检测软件中发现了一个类似的 RCE漏洞 ,允许攻击者触发有漏洞的程序下载和执行任意文件而无需用户交互。
一年后,也就是2020年2月,SupportAssist再次得到修补,以解决由于DLL搜索顺序劫持漏洞而导致的安全漏洞,该漏洞使本地攻击者能够在易受攻击的设备上以管理员权限执行任意代码。
最后但并非最不重要的是,上个月戴尔解决了一个缺陷,可以将非管理员用户的权限提升到内核权限,这是在数千万台戴尔设备附带的DBUtil驱动程序中发现的漏洞。
关于DELL SupportAssist
戴尔表示,大多数运行Windows操作系统的戴尔设备都预装了 SupportAssist 软件。BIOSConnect功能有助于远程固件更新和操作系统恢复、故障排除功能。为此,它连接到戴尔的云基础架构以将请求的报价传输到设备。
黑白之道周边商城,各种精美衣服帽子鼠标垫,猛戳↓↓↓
湖南永定公安:某健康公司未履行网络安全义务!罚!
来!千人白帽养成计划第四期,来了!
多一个点在看
多一条小鱼干
本文始发于微信公众号(黑白之道):3000万台戴尔电脑受新远程漏洞影响面临风险
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论