Milhões de dispositivos Dell vulneráveis a atualizar falha do driver

Views: 398
0 0
Read Time:2 Minute, 39 Second

A Dell corrigiu cinco falhas em um driver de atualização de firmware vulnerável que foi enviado em milhões de laptops, tablets e desktops desde 2009.

As vulnerabilidades foram atribuídas a um único CVE, CVE-2021-21551, e têm uma pontuação CVSS de 8,8. A Dell envolveu o motorista vulnerável, que é dbutil_2_3.sys, no utilitário de atualização do BIOS, escreve Kasif Dekel, pesquisador sênior de segurança da SentinelOne.

“Essas múltiplas vulnerabilidades de alta gravidade no software Dall podem permitir que os invasores aumentem privilégios de um usuário não administrador para privilégios de modo de kernel”, escreve Dekel em um post no blog. “Embora não tenhamos visto nenhum indicador de que essas vulnerabilidades tenham sido exploradas na natureza até agora, com centenas de milhões de empresas e usuários atualmente vulneráveis, é inevitável que os invasores procurem aqueles que não tomem as medidas apropriadas.”

As vulnerabilidades não são remotamente exploráveis, no entanto, e explorá-las requer acesso autenticado local, de acordo com a assessoria da Dell.

“Um ator mal-intencionado precisaria primeiro ter acesso ao seu PC, por exemplo, através de phishing, malware ou por você concedendo acesso remoto. Para ajudar a se proteger de atores mal-intencionados, nunca concorde em dar controle remoto ao seu computador a qualquer contato não solicitado (como de um e-mail ou telefonema) para corrigir um problema.” Dell disse. “A Dell não está ciente dessa vulnerabilidade que foi explorada por um ator malicioso até hoje.”

Prova de Conceito Retido

Dekel escreve que não está liberando o código de prova de conceito para seu ataque até 1º de junho para dar tempo suficiente para que os sistemas sejam corrigidos. Mas ele publicou um breve vídeo demo.

Dekel publicou um vídeo em seu post no blog mostrando como o POC leva a privilégios de nível de kernel.

Um problema com o driver de atualização de firmware é que ele pode ser acessado por usuários não privilegiados e aceita solicitações de Controle de Entrada/Saída (IOCTL) sem quaisquer requisitos de ACL, escreve Dekel.

“Permitir que qualquer processo se comunique com seu motorista muitas vezes é uma má prática, já que os motoristas operam com os mais altos privilégios”, acrescenta Dekel.

Outro problema é que o arquivo do driver está localizado em “C:WindowsTemp, que também é um bug em si e abre a porta para outros problemas”, escreve Dekel. A maneira clássica de explorar isso seria transformar qualquer BYOVD (Bring Your Own Vulnerable Driver) em uma elevação da vulnerabilidade de privilégios, já que carregar um driver (vulnerável) significa que você requer privilégios de administrador, o que essencialmente elimina a necessidade de uma vulnerabilidade. “Assim, usar esse lado notado vulnerabilidade virtualmente significa que você pode levar qualquer BYOVD a uma elevação de privilégios.”

Embora a Dell tenha liberado um motorista fixo, Dekel escreve que o certificado de assinatura não foi revogado. “Isso não é considerado a melhor prática, uma vez que o motorista vulnerável ainda pode ser usado em um ataque BYOVD como mencionado anteriormente”, observa.

Embora as falhas não sejam remotamente exploráveis, Dekel escreve que elas certamente ainda são úteis aos atacantes para alcançar o movimento lateral.

FONTE: BANKINFO SECURITY

POSTS RELACIONADOS