Eksperci ds. cyberbezpieczeństwa z firmy Eclypsium znaleźli sposób na potajemne wykorzystanie zbioru krytycznych luk w zabezpieczeniach znalezionych w milionach komputery firmy Dell, od komputerów stacjonarnych po laptopy i tablety.
Odkryty w marcu problem dotyczy 129 modeli urządzeń Dell przeznaczonych zarówno dla zwykłych, jak i korporacyjnych użytkowników. Zagrożenie dotyczy również komputerów z systemem ochrony Secured-core PC opracowanym przez firmę Microsoft. Według raportu opublikowanego przez Eclypsium mówimy o około 30 milionach komputerów. Firma z kolei wydała „łatki” do oprogramowania, aby wyeliminować wykryte luki, zauważając, że problem jest krytyczny.
Dell opublikował poprawki dla co najmniej cztery luki wykryte przez ekspertów Eclypsium Mickeya Shkatova i Jesse Michaela. Ponadto na konferencji bezpieczeństwa Def Con zamierzają omówić wykryte luki w zabezpieczeniach i możliwe konsekwencje ich użycia.
Eksperci odkrywają luki w zabezpieczeniach milionów komputerów Dell
Wykryte luki dotyczą funkcji BIOSConnect w systemie BIOS klienta firmy Dell. Według ekspertów problem pozwala atakującemu podszyć się pod system informacyjny firmy Dell i uzyskać możliwość wykonania dowolnego kodu na poziomie BIOS/UEFI zainfekowanego urządzenia. Badanie wykazało, że taki atak może kontrolować proces rozruchu i uszkodzić system operacyjny oraz systemy bezpieczeństwa wyższego poziomu.
„Te luki są w trybie łatwym do wykorzystania. To w zasadzie jak podróż w czasie – znowu prawie jak w latach 90. – mówi Jesse Michael, główny analityk w Eclypsium. „Branża osiągnęła całą tę dojrzałość funkcji bezpieczeństwa w kodzie na poziomie aplikacji i systemu operacyjnego, ale nie stosuje najlepszych praktyk w zakresie nowych funkcji bezpieczeństwa oprogramowania układowego”.
Atakujący może wykorzystać luki w zabezpieczeniach do zdalnego wykonania kodu w środowisku przed uruchomieniem. Zmieniając początkowy stan systemu operacyjnego; atakujący jest w stanie ominąć systemy bezpieczeństwa na poziomie systemu operacyjnego. Problematyczna funkcja BIOSConnect jest częścią metody aktualizacji SupportAssist; służy do pobierania legalnych aktualizacji firmy Dell i zdalnego zarządzania komputerami.
Ponadto narzędzie Dell SupportAssist jest preinstalowane na większości komputerów Dell z systemem Windows. Pozwala to na przykład pracodawcy na zdalne przywrócenie systemu na komputerze pracownika.
Luki CVE-2021-21571, CVE-2021-21572, CVE-2021-21573 i CVE-2021-21574 zapewniają atakującym niezabezpieczone połączenia i uruchamiają złośliwe oprogramowanie. Właściciele komputerów Dell powinni wyłączyć funkcję BIOSConnect przed otrzymaniem nowej poprawki. Ponadto, aby uzyskać więcej informacji na temat luk, odwiedź witrynę firmy Dell.
„Jest to atak, który pozwala atakującemu przejść bezpośrednio do systemu BIOS;” podstawowe oprogramowanie układowe używane w procesie rozruchu, mówi badacz Eclypsium Scott Scheferman. „Zanim system operacyjny uruchomi się i zorientuje się, co się dzieje, atak już się odbył. Jest to unikalna i potężna luka w zabezpieczeniach dla atakującego, który chce wytrwałości”.
