Les experts en cybersécurité d’Eclypsium ont trouvé un moyen d’exploiter secrètement une collection de vulnérabilités critiques trouvées sur des millions de ordinateurs Dell, des ordinateurs de bureau aux ordinateurs portables et tablettes.
Découvert en mars, le problème concerne 129 modèles d’appareils Dell destinés à la fois aux utilisateurs réguliers et aux entreprises. La menace concerne également les ordinateurs dotés du système de protection PC Secured-core développé par Microsoft. Selon le rapport publié par Eclypsium, on parle d’environ 30 millions d’ordinateurs. La société, à son tour, a publié des « correctifs » logiciels pour éliminer les vulnérabilités découvertes, notant que le problème est critique.
Dell a publié des correctifs pour au moins quatre vulnérabilités découvertes par les experts d’Eclypsium Mickey Shkatov et Jesse Michael. De plus, lors de la conférence sur la sécurité Def Con, ils ont l’intention de discuter des failles de sécurité découvertes et des conséquences possibles de leur utilisation.
Des experts découvrent des vulnérabilités dans des millions d’ordinateurs Dell
Les vulnérabilités trouvées concernent la fonction BIOSConnect dans le BIOS du client Dell. Selon les experts, le problème permet à un attaquant de se faire passer pour un système d’information Dell et d’obtenir la possibilité d’exécuter du code arbitraire au niveau BIOS/UEFI de l’appareil infecté. L’étude a révélé qu’une telle attaque pouvait contrôler le processus de démarrage et endommager le système d’exploitation et les systèmes de sécurité de niveau supérieur.
« Ces vulnérabilités sont en mode facile à exploiter. C’est essentiellement comme voyager dans le temps, c’est presque comme dans les années 90 », explique Jesse Michael, analyste principal chez Eclypsium. « L’industrie a atteint toute cette maturité des fonctionnalités de sécurité dans le code au niveau des applications et du système d’exploitation, mais elle ne suit pas les meilleures pratiques dans les nouvelles fonctionnalités de sécurité du micrologiciel. »
Un attaquant pourrait exploiter des vulnérabilités pour exécuter du code à distance dans un environnement de prédémarrage. En changeant l’état initial du système d’exploitation ; un attaquant est capable de contourner les systèmes de sécurité au niveau du système d’exploitation. La fonctionnalité problématique de BIOSConnect fait partie de la méthode de mise à jour SupportAssist ; utilisé pour télécharger des mises à jour Dell légitimes et gérer des ordinateurs à distance.
De plus, Dell SupportAssist est préinstallé sur la plupart des PC Windows Dell. Ceci, par exemple, permet à l’employeur de restaurer à distance le système sur l’ordinateur de l’employé.
Les vulnérabilités CVE-2021-21571, CVE-2021-21572, CVE-2021-21573 et CVE-2021-21574 fournissent aux attaquants des connexions non sécurisées et lancent des logiciels malveillants. Les propriétaires de PC Dell doivent désactiver la fonction BIOSConnect avant de recevoir un nouveau correctif. De plus, pour plus d’informations sur les vulnérabilités, visitez le site Web de Dell.
“Il s’agit d’une attaque qui permet à un attaquant d’accéder directement au BIOS ;”le micrologiciel fondamental utilisé dans le processus de démarrage, explique Scott Scheferman, chercheur chez Eclypsium. « Avant même que le système d’exploitation ne démarre et soit au courant de ce qui se passe, l’attaque a déjà eu lieu. C’est une vulnérabilité évasive et puissante pour un attaquant qui veut de la persistance. »