Gli esperti di sicurezza informatica di Eclypsium hanno trovato un modo per sfruttare segretamente una raccolta di vulnerabilità critiche trovate su milioni di computer Dell, dai desktop ai laptop e tablet.
Scoperto a marzo, il problema riguarda 129 modelli di dispositivi Dell destinati sia agli utenti normali che a quelli aziendali. La minaccia è rilevante anche per i computer con il sistema di protezione PC Secured-core sviluppato da Microsoft. Secondo il rapporto pubblicato da Eclypsium, si parla di circa 30 milioni di computer. La società, a sua volta, ha rilasciato”patch”software per eliminare le vulnerabilità scoperte, rilevando che il problema è critico.
Dell ha rilasciato correzioni per almeno quattro vulnerabilità scoperte dagli esperti di Eclypsium Mickey Shkatov e Jesse Michael. Inoltre, alla conferenza sulla sicurezza Def Con, intendono discutere le falle di sicurezza scoperte e le possibili conseguenze del loro utilizzo.
Gli esperti scoprono le vulnerabilità in milioni di computer Dell
Le vulnerabilità rilevate si riferiscono alla funzione BIOSConnect nel BIOS del client Dell. Secondo gli esperti, il problema consente a un utente malintenzionato di impersonare un sistema informativo Dell e acquisire la capacità di eseguire codice arbitrario a livello di BIOS/UEFI del dispositivo infetto. Lo studio ha rilevato che un tale attacco potrebbe controllare il processo di avvio e danneggiare il sistema operativo e i sistemi di sicurezza di livello superiore.
“Queste vulnerabilità sono in modalità facile da sfruttare. È essenzialmente come viaggiare indietro nel tempo, è quasi di nuovo come negli anni’90”, afferma Jesse Michael, principale analista di Eclypsium.”L’industria ha raggiunto tutta questa maturità delle funzionalità di sicurezza nel codice a livello di applicazione e sistema operativo, ma non sta seguendo le best practice nelle nuove funzionalità di sicurezza del firmware.”
Un utente malintenzionato potrebbe sfruttare le vulnerabilità per eseguire il codice in remoto in un ambiente di preavvio. Modificando lo stato iniziale del sistema operativo; un utente malintenzionato è in grado di aggirare i sistemi di sicurezza a livello di sistema operativo. La funzionalità BIOSConnect problematica fa parte del metodo di aggiornamento SupportAssist; utilizzato per scaricare aggiornamenti Dell legittimi e gestire i computer in remoto.
Inoltre, Dell SupportAssist è preinstallato sulla maggior parte dei PC Dell Windows. Ciò, ad esempio, consente al datore di lavoro di ripristinare in remoto il sistema sul computer del dipendente.
Le vulnerabilità CVE-2021-21571, CVE-2021-21572, CVE-2021-21573 e CVE-2021-21574 forniscono agli aggressori connessioni non sicure e l’avvio di malware. I proprietari di PC Dell devono disabilitare la funzione BIOSConnect prima di ricevere una nuova patch. Inoltre, per ulteriori informazioni sulle vulnerabilità, visitare il sito Web Dell.
“Questo è un attacco che consente a un utente malintenzionato di accedere direttamente al BIOS;”il firmware fondamentale utilizzato nel processo di avvio, afferma il ricercatore di Eclypsium Scott Scheferman.”Prima che il sistema operativo si avvii e sia consapevole di cosa sta succedendo, l’attacco è già avvenuto. È una vulnerabilità evasiva e potente per un attaccante che vuole persistenza.”
