Millioner av Dell-enheter utsatt for eksterne angrep

Forskere om cybersikkerhet publiserte nylig en rapport som beskriver fire sikkerhetsproblemer med Dell-enheter. Estimasjonen viser 30 millioner Dell-endepunkter som kan lide ekstern kjøring av kode og BIOS-angrep.

ZDNet rapporterte om problemet, og siterte analytikere som jobber med sikkerhetsfirmaet Eclypsium. Forskerne listet til sammen 129 bærbare datamaskiner, nettbrett og forhåndsbygde stasjonære datamaskiner fra Dell, samt Dell-maskinvare i bedriftsklasse som lider av de fire kritiske feilene. Feilene har å gjøre med implementeringen av Secure Boot på enhetene.

Secure Boot er en industristandard som er utarbeidet som en felles innsats mellom forskjellige PC-bransjer, og formålet er å sikre at enhetene som er beskyttet med den, bare kan starte når programvaren som brukes i oppstartsprosedyren, er klarert av OEM. Hensikten med teknologien er å forhindre ondsinnede overtakelser og manipulering på kjernenivå.

Feilene oppdaget av Eclypsium tillot hackere å komme seg rundt beskyttelsen som tilbys av Secure Boot og få full kontroll over enhetens oppstartsprosedyre, og effektivt få tilgang til enheten og operativsystemet. De fire feilene er scoret med en alvorlighetspoeng på 8,3 av 10 under Common Vulnerability Scoring System.

De fire feilene har å gjøre med en løsning som heter BIOSConnect - en implementering som finnes på mye Dell-maskinvare som skal gi kundestøttealternativer. Ved hjelp av BIOSConnect kan legitime støtteteknikere oppdatere fastvaren på enheten som kjører BIOSConnect, og kan også utføre systemgjenopprettingsoperasjoner eksternt.

Sikkerhetsanalytikerne bemerket at lignende eksterne støtteimplementeringer blir stadig mer vanlige ikke bare hos Dell, men med andre maskinvareleverandører. Selv om bekvemmeligheten av denne typen ekstern støtte ikke kan benektes, bør ikke de tilhørende risikoene som følger med den overses, som vist ved oppdagelsen av de kritiske feilene.

Noen av feilene er avhengige av oversvømmelsesproblemer, mens den viktigste som brukes til å få oppføring og er registrert som CVE-2021-21571, er relatert til måten BIOSConnect-programvaren kontakter Dells backend-støtteservere.

Når BIOSConnect-programvaren kobles til serverne, vil det gi ok til ethvert jokertegnesertifikat. Dette betyr at en angriper som har privilegert nettverkstilgang kan misbruke dette og kapre forbindelsen, og deretter installere hva de vil på offerets system, og sluttbrukeren vil ikke være noe klokere.

Dell har allerede begynt å presse direkte oppdateringer for problemet. Selskapet ga ut et offisielt råd og oppdateringer for et stort antall berørte enheter. Resten av oppdateringene forventes de nærmeste dagene, sannsynligvis i begynnelsen av juli.