Los expertos en ciberseguridad de Eclypsium han encontrado una manera de explotar en secreto una colección de vulnerabilidades críticas encontradas en millones de Computadoras Dell , desde computadoras de escritorio hasta computadoras portátiles y tabletas.
Descubierto en marzo, el problema se refiere a 129 modelos de dispositivos Dell destinados tanto a usuarios habituales como corporativos. La amenaza también es relevante para las computadoras con el sistema de protección de PC Secured-core desarrollado por Microsoft. Según el informe publicado por Eclypsium, estamos hablando de unos 30 millones de ordenadores. La empresa, a su vez, lanzó”parches”de software para eliminar las vulnerabilidades descubiertas, y señaló que el problema es crítico.
Dell ha publicado correcciones para al menos cuatro vulnerabilidades descubiertas por los expertos en Eclypsium, Mickey Shkatov y Jesse Michael. Además, en la conferencia de seguridad Def Con, tienen la intención de discutir los agujeros de seguridad descubiertos y las posibles consecuencias de su uso.
Los expertos descubren vulnerabilidades en millones de computadoras Dell
Las vulnerabilidades encontradas se relacionan con la función BIOSConnect en el BIOS del cliente Dell. Según los expertos, el problema permite a un atacante hacerse pasar por un sistema de información de Dell y obtener la capacidad de ejecutar código arbitrario en el nivel BIOS/UEFI del dispositivo infectado. El estudio encontró que un ataque de este tipo podría controlar el proceso de arranque y dañar el sistema operativo y los sistemas de seguridad de nivel superior.
“Estas vulnerabilidades están en modo fácil de explotar. Es esencialmente como viajar atrás en el tiempo, es casi como en los noventa nuevamente ”, dice Jesse Michael, analista principal de Eclypsium.”La industria ha logrado toda esta madurez de las funciones de seguridad en el código de nivel de aplicación y sistema operativo, pero no está siguiendo las mejores prácticas en las nuevas funciones de seguridad del firmware”.
Un atacante podría aprovechar las vulnerabilidades para ejecutar código de forma remota en un entorno previo al arranque. Cambiando el estado inicial del sistema operativo; un atacante puede eludir los sistemas de seguridad a nivel del sistema operativo. La característica problemática BIOSConnect es parte del método de actualización de SupportAssist; se utiliza para descargar actualizaciones legítimas de Dell y administrar computadoras de forma remota.
Además, Dell SupportAssist viene preinstalado en la mayoría de las computadoras Dell con Windows. Esto, por ejemplo, permite al empleador restaurar de forma remota el sistema en la computadora del empleado.
Las vulnerabilidades CVE-2021-21571, CVE-2021-21572, CVE-2021-21573 y CVE-2021-21574 proporcionan a los atacantes conexiones inseguras y el lanzamiento de malware. Los propietarios de PC Dell deben desactivar la función BIOSConnect antes de recibir un nuevo parche. Además, para obtener más información sobre las vulnerabilidades, visite el sitio web de Dell.
“Este es un ataque que permite que un atacante vaya directamente al BIOS”; el firmware fundamental utilizado en el proceso de arranque, dice el investigador de Eclypsium Scott Scheferman. “Antes de que el sistema operativo siquiera se inicie y se dé cuenta de lo que está sucediendo, el ataque ya ocurrió. Es una vulnerabilidad evasiva y poderosa para un atacante que quiere persistencia”.
