Millioner af Dell-enheder udsat for fjernangreb

Forskere inden for cybersikkerhed har for nylig offentliggjort en rapport, der beskriver fire sikkerhedsproblemer med Dell-enheder. Estimationen viser 30 millioner Dell-slutpunkter, der kan lide ekstern udførelse af kode og BIOS-angreb.

ZDNet rapporterede om problemet og citerede analytikere, der arbejder med virksomhedssikkerhedsfirmaet Eclypsium. Forskerne anførte i alt 129 bærbare computere, tablets og forudindbyggede stationære computere fra Dell, såvel som Dell-hardware i virksomhedskvalitet, der lider under de fire kritiske fejl. Fejlene har at gøre med implementeringen af Secure Boot på enhederne.

Secure Boot er en industristandard, der er udarbejdet som en fælles indsats mellem forskellige pc-industrivirksomheder, og dens formål er at sikre, at de enheder, der er beskyttet med den, kun kan starte, når OEM-softwaren har tillid til den software, der bruges i opstartsproceduren. Formålet med teknologien er at forhindre ondsindede overtagelser og manipulation på kerneniveau.

De fejl, der blev opdaget af Eclypsium, gjorde det muligt for hackere at omgå den beskyttelse, der tilbydes af Secure Boot, og få fuld kontrol over enhedens opstartsprocedure og effektivt få adgang til enheden og dens operativsystem. De fire fejl er scoret med en sværhedsgrad på 8,3 ud af 10 under Common Vulnerability Scoring System.

De fire fejl har at gøre med en løsning kaldet BIOSConnect - en implementering, der findes på en masse Dell-hardware, der formodes at give kundemulighederne supportmuligheder. Ved hjælp af BIOSConnect kan legitime supportteknikere opdatere firmwaren på den enhed, der kører BIOSConnect, og kan også udføre systemgendannelsesoperationer eksternt.

Sikkerhedsanalytikerne bemærkede, at lignende fjernimplementeringsimplementeringer bliver mere og mere almindelige ikke kun hos Dell, men med andre hardwareleverandører. Selvom bekvemmeligheden ved denne type fjernstøtte ikke kan benægtes, bør de tilknyttede risici, der følger med den, ikke overses, som det fremgår af opdagelsen af disse kritiske fejl.

Nogle af fejlene er afhængige af oversvømmelsessårbarheder, mens den vigtigste, der bruges til at få adgang og er registreret som CVE-2021-21571, er relateret til den måde, BIOSConnect-softwaren kontakter Dells backend-supportservere på.

Når BIOSConnect-softwaren opretter forbindelse til serverne, vil det give ok til ethvert jokertegncertifikat. Dette betyder, at en angriber, der har privilegeret netværksadgang, kan misbruge dette og kapre forbindelsen og derefter installere hvad de vil på offerets system, og slutbrugeren ville ikke være klogere.

Dell er allerede begyndt at skubbe live patches til problemet. Virksomheden udgav en officiel rådgivende note og opdateringer til et stort antal berørte enheder. Resten af opdateringerne forventes i de kommende dage, sandsynligvis i begyndelsen af juli.