Cybersicherheitsexperten von Eclypsium haben einen Weg gefunden, eine Sammlung kritischer Sicherheitslücken heimlich auszunutzen, die auf Millionen von Dell Computer, von Desktops bis hin zu Laptops und Tablets.
Das Problem wurde bereits im März entdeckt und betrifft 129 Modelle von Dell-Geräten, die sowohl für normale als auch für Unternehmensbenutzer bestimmt sind. Die Bedrohung ist auch für Computer mit dem von Microsoft entwickelten Secured-Core-PC-Schutzsystem relevant. Laut dem von Eclypsium veröffentlichten Bericht sprechen wir von etwa 30 Millionen Computern. Das Unternehmen wiederum veröffentlichte Software-„Patches“, um die entdeckten Schwachstellen zu beseitigen, und stellte fest, dass das Problem kritisch ist.
Dell hat Korrekturen für. veröffentlicht mindestens vier Sicherheitslücken, die von den Eclypsium-Experten Mickey Shkatov und Jesse Michael entdeckt wurden. Außerdem beabsichtigen sie, auf der Sicherheitskonferenz der Def Con die entdeckten Sicherheitslücken und die möglichen Folgen ihrer Nutzung zu diskutieren.
Experten decken Schwachstellen in Millionen von Dell-Computern auf
Die gefundenen Schwachstellen beziehen sich auf die BIOSConnect-Funktion im Dell Client-BIOS. Laut Experten ermöglicht das Problem einem Angreifer, sich als Dell-Informationssystem auszugeben und so die Möglichkeit zu erhalten, beliebigen Code auf BIOS-/UEFI-Ebene des infizierten Geräts auszuführen. Die Studie ergab, dass ein solcher Angriff den Boot-Prozess kontrollieren und das Betriebssystem und übergeordnete Sicherheitssysteme beschädigen könnte.
„Diese Schwachstellen sind im einfachen Modus auszunutzen. Es ist im Wesentlichen wie eine Zeitreise – es ist fast wieder wie in den 90er Jahren“, sagt Jesse Michael, Principal Analyst bei Eclypsium. „Die Branche hat all diese Reife der Sicherheitsfunktionen im Code auf Anwendungs-und Betriebssystemebene erreicht, aber sie befolgt nicht die Best Practices für neue Firmware-Sicherheitsfunktionen.“
Ein Angreifer könnte Sicherheitslücken ausnutzen, um Code aus der Ferne in einer Preboot-Umgebung auszuführen. Durch Ändern des Anfangszustands des Betriebssystems; ein Angreifer kann Sicherheitssysteme auf Betriebssystemebene umgehen. Die problematische BIOSConnect-Funktion ist Teil der SupportAssist-Aktualisierungsmethode; Wird verwendet, um legitime Dell-Updates herunterzuladen und Computer aus der Ferne zu verwalten.
Darüber hinaus ist Dell SupportAssist auf den meisten Dell Windows-PCs vorinstalliert. Dies ermöglicht es dem Arbeitgeber beispielsweise, das System aus der Ferne auf dem Computer des Arbeitnehmers wiederherzustellen.
Die Sicherheitslücken CVE-2021-21571, CVE-2021-21572, CVE-2021-21573 und CVE-2021-21574 bieten Angreifern unsichere Verbindungen und starten Malware. Besitzer von Dell-PCs sollten die BIOSConnect-Funktion deaktivieren, bevor sie einen neuen Patch erhalten. Weitere Informationen zu den Sicherheitslücken finden Sie auf der Dell-Website.
“Dies ist ein Angriff, der es einem Angreifer ermöglicht, direkt zum BIOS zu gelangen.”die grundlegende Firmware, die beim Booten verwendet wird, sagt Eclypsium-Forscher Scott Scheferman. „Bevor das Betriebssystem überhaupt bootet und weiß, was vor sich geht, ist der Angriff bereits erfolgt. Es ist eine ausweichende und mächtige Schwachstelle für einen Angreifer, der Persistenz will.“
