Millionen von Dell-Geräten Remote-Angriffen ausgesetzt

Cyber-Sicherheitsforscher haben kürzlich einen Bericht veröffentlicht, in dem vier Sicherheitsprobleme bei Dell-Geräten beschrieben werden. Die Schätzung listet 30 Millionen Dell-Endpunkte auf, die von Remotecodeausführung und BIOS-Angriffen betroffen sein könnten.

ZDNet berichtete über das Problem und zitierte Analysten, die mit dem Unternehmenssicherheitsunternehmen Eclypsium zusammenarbeiten. Die Forscher listeten insgesamt 129 Laptops, Tablets und vorgefertigte Desktop-Computer der Marke Dell sowie Dell-Hardware der Enterprise-Klasse auf, die unter den vier kritischen Fehlern leiden. Die Fehler haben mit der Implementierung von Secure Boot auf den Geräten zu tun.

Secure Boot ist ein von verschiedenen Unternehmen der PC-Industrie gemeinsam erarbeiteter Industriestandard, der sicherstellen soll, dass die damit geschützten Geräte nur dann booten können, wenn der beim Bootvorgang verwendete Software vom OEM vertraut wird. Der Zweck der Technologie besteht darin, böswillige Übernahmen und Manipulationen auf Kernel-Ebene zu verhindern.

Die von Eclypsium entdeckten Fehler ermöglichten es Hackern, den von Secure Boot gebotenen Schutz zu umgehen und die vollständige Kontrolle über den Bootvorgang des Geräts zu erlangen, wodurch sie effektiv auf das Gerät und sein Betriebssystem zugreifen konnten. Die vier Fehler wurden im Common Vulnerability Scoring System mit einem Schweregrad von 8,3 von 10 Punkten bewertet.

Die vier Fehler haben mit einer Lösung namens BIOSConnect zu tun – einer Implementierung, die auf vielen Dell-Hardware zu finden ist und den Kunden Support-Optionen bieten soll. Mit BIOSConnect können legitime Support-Techniker die Firmware auf dem Gerät aktualisieren, auf dem BIOSConnect ausgeführt wird, und auch Systemwiederherstellungsvorgänge aus der Ferne ausführen.

Die Sicherheitsanalysten stellten fest, dass ähnliche Remote-Support-Implementierungen nicht nur bei Dell, sondern auch bei anderen Hardwareanbietern immer häufiger werden. Auch wenn die Bequemlichkeit dieser Art von Remote-Support unbestreitbar ist, sollten die damit verbundenen Risiken nicht übersehen werden, wie die Entdeckung dieser kritischen Fehler zeigt.

Einige der Fehler beruhen auf Überlauf-Schwachstellen, während der Hauptfehler, der für den Zugang verwendet und als CVE-2021-21571 registriert wird, mit der Art und Weise zusammenhängt, wie die BIOSConnect-Software die Backend-Support-Server von Dell kontaktiert.

Wenn die BIOSConnect-Software eine Verbindung zu den Servern herstellt, gibt sie jedem Wildcard-Zertifikat das Okay. Dies bedeutet, dass ein Angreifer, der über einen privilegierten Netzwerkzugriff verfügt, dies missbrauchen und die Verbindung kapern und dann auf dem System des Opfers installieren kann, was er möchte, und der Endbenutzer wäre nicht klüger.

Dell hat bereits damit begonnen, Live-Patches für das Problem bereitzustellen. Das Unternehmen hat einen offiziellen Hinweis und Updates für eine große Anzahl betroffener Geräte veröffentlicht. Die restlichen Updates werden in den kommenden Tagen erwartet, voraussichtlich Anfang Juli.