Pakar keamanan siber di Eclypsium telah menemukan cara untuk secara diam-diam mengeksploitasi kumpulan kerentanan kritis yang ditemukan di jutaan Dell komputer, dari desktop hingga laptop dan tablet.
Ditemukan kembali pada bulan Maret, masalahnya menyangkut 129 model perangkat Dell yang ditujukan untuk pengguna reguler dan korporat. Ancaman ini juga relevan untuk komputer dengan sistem perlindungan PC inti Aman yang dikembangkan oleh Microsoft. Menurut laporan yang diterbitkan oleh Eclypsium, kita berbicara tentang sekitar 30 juta komputer. Perusahaan, pada gilirannya, merilis”tambalan”perangkat lunak untuk menghilangkan kerentanan yang ditemukan, dengan mencatat bahwa masalahnya sangat penting.
Dell telah merilis perbaikan untuk setidaknya empat kerentanan ditemukan oleh ahli Eclypsium Mickey Shkatov dan Jesse Michael. Juga, pada konferensi keamanan Def Con, mereka bermaksud untuk membahas lubang keamanan yang ditemukan dan kemungkinan konsekuensi dari penggunaannya.
Para ahli mengungkap kerentanan di jutaan komputer Dell
Kerentanan yang ditemukan terkait dengan fitur BIOSConnect di BIOS Klien Dell. Menurut para ahli, masalah tersebut memungkinkan penyerang untuk meniru sistem informasi Dell dan mendapatkan kemampuan untuk mengeksekusi kode arbitrer pada tingkat BIOS/UEFI dari perangkat yang terinfeksi. Studi tersebut menemukan bahwa serangan semacam itu dapat mengontrol proses boot dan merusak sistem operasi dan sistem keamanan tingkat tinggi.
“Kerentanan ini berada dalam mode mudah untuk dieksploitasi. Ini pada dasarnya seperti bepergian ke masa lalu — hampir seperti tahun 90-an lagi, ”kata Jesse Michael, analis utama di Eclypsium. “Industri telah mencapai semua kematangan fitur keamanan dalam aplikasi dan kode tingkat sistem operasi, tetapi mereka tidak mengikuti praktik terbaik dalam fitur keamanan firmware baru.”
Penyerang dapat mengeksploitasi kerentanan untuk mengeksekusi kode dari jarak jauh di lingkungan pra-booting. Dengan mengubah keadaan awal sistem operasi; penyerang mampu melewati sistem keamanan di tingkat OS. Fitur BIOSConnect yang bermasalah adalah bagian dari metode pembaruan SupportAssist; digunakan untuk mengunduh pembaruan Dell yang sah dan mengelola komputer dari jarak jauh.
Selain itu, Dell SupportAssist telah diinstal sebelumnya di sebagian besar PC Windows Dell. Ini, misalnya, memungkinkan pemberi kerja memulihkan sistem di komputer karyawan dari jarak jauh.
Kerentanan CVE-2021-21571, CVE-2021-21572, CVE-2021-21573, dan CVE-2021-21574 memberi penyerang koneksi tidak aman dan meluncurkan malware. Pemilik PC Dell harus menonaktifkan fitur BIOSConnect sebelum menerima patch baru. Selain itu, untuk informasi selengkapnya tentang kerentanan, kunjungi situs web Dell.
“Ini adalah serangan yang memungkinkan penyerang masuk langsung ke BIOS;” firmware dasar yang digunakan dalam proses boot, kata peneliti Eclypsium, Scott Scheferman. “Sebelum sistem operasi melakukan booting dan menyadari apa yang terjadi, serangan telah terjadi. Ini adalah kerentanan yang mengelak dan kuat bagi penyerang yang menginginkan ketekunan.”
