Miljoenen Dell apparaten blootgesteld aan aanvallen op afstand
Cybersecurity-onderzoekers hebben onlangs een rapport gepubliceerd waarin vier beveiligingsproblemen met Dell-apparaten worden beschreven. De schatting vermeldt 30 miljoen Dell-eindpunten die kunnen lijden aan externe code-uitvoering en BIOS-aanvallen.
ZDNet rapporteerde over het probleem en citeerde analisten die samenwerkten met het beveiligingsbedrijf Eclypsium. De onderzoekers somden in totaal 129 laptops, tablets en vooraf gebouwde desktopcomputers van Dell op, evenals Dell-hardware van ondernemingskwaliteit die last heeft van de vier kritieke bugs. De bugs hebben te maken met de implementatie van Secure Boot op de apparaten.
Secure Boot is een industriestandaard die is ontwikkeld als een gezamenlijke inspanning van verschillende bedrijven in de pc-industrie en het doel is om ervoor te zorgen dat de apparaten die ermee worden beschermd alleen kunnen opstarten als de software die wordt gebruikt in de opstartprocedure wordt vertrouwd door de OEM. Het doel van de technologie is om kwaadaardige overnames en manipulatie op kernelniveau te voorkomen.
Door de bugs die door Eclypsium werden ontdekt, konden hackers de bescherming van Secure Boot omzeilen en volledige controle krijgen over de opstartprocedure van het apparaat, waardoor ze effectief toegang kregen tot het apparaat en het besturingssysteem. De vier bugs zijn gescoord met een ernstscore van 8,3 op 10 volgens het Common Vulnerability Scoring System.
De vier bugs hebben te maken met een oplossing genaamd BIOSConnect - een implementatie die op veel Dell-hardware wordt aangetroffen en die ondersteuningsopties voor klanten zou moeten bieden. Met behulp van BIOSConnect kunnen legitieme ondersteuningstechnici de firmware bijwerken op het apparaat waarop BIOSConnect wordt uitgevoerd en kunnen ze ook systeemherstelbewerkingen op afstand uitvoeren.
De beveiligingsanalisten merkten op dat vergelijkbare implementaties van externe ondersteuning steeds vaker voorkomen, niet alleen bij Dell, maar ook bij andere hardwareleveranciers. Hoewel het gemak van dit soort ondersteuning op afstand onmiskenbaar is, mogen de bijbehorende risico's niet over het hoofd worden gezien, zoals blijkt uit de ontdekking van die kritieke bugs.
Sommige bugs zijn afhankelijk van overloopkwetsbaarheden, terwijl de belangrijkste die wordt gebruikt om toegang te krijgen en geregistreerd als CVE-2021-21571 verband houdt met de manier waarop de BIOSConnect-software contact maakt met de backend-supportservers van Dell.
Wanneer de BIOSConnect-software verbinding maakt met de servers, geeft deze toestemming voor elk wildcard-certificaat. Dit betekent dat een aanvaller die geprivilegieerde netwerktoegang heeft, hiervan misbruik kan maken en de verbinding kan kapen en vervolgens alles kan installeren op het systeem van het slachtoffer, en de eindgebruiker zou er niets wijzer van worden.
Dell is al begonnen met het pushen van live patches voor het probleem. Het bedrijf heeft een officieel advies en updates uitgebracht voor een groot aantal getroffen apparaten. De rest van de updates wordt in de komende dagen verwacht, waarschijnlijk begin juli.
