Miliony urządzeń firmy Dell narażonych na ataki zdalne

Badacze cyberbezpieczeństwa opublikowali niedawno raport szczegółowo opisujący cztery problemy z bezpieczeństwem urządzeń firmy Dell. Szacunki obejmują 30 milionów punktów końcowych firmy Dell, które mogą być narażone na zdalne wykonanie kodu i ataki na system BIOS.
ZDNet poinformował o problemie, powołując się na analityków współpracujących z firmą Eclypsium zajmującą się bezpieczeństwem przedsiębiorstw. Badacze wymienili łącznie 129 laptopów, tabletów i gotowych komputerów stacjonarnych marki Dell, a także sprzęt Dell klasy korporacyjnej, który cierpi na cztery krytyczne błędy. Błędy dotyczą implementacji Bezpiecznego rozruchu na urządzeniach.
Secure Boot to standard branżowy opracowany jako wspólny wysiłek różnych przedsiębiorstw z branży komputerów PC, a jego celem jest zapewnienie, że chronione nim urządzenia mogą uruchamiać się tylko wtedy, gdy oprogramowanie używane w procedurze rozruchu jest zaufane przez producenta OEM. Celem tej technologii jest zapobieganie złośliwym przejęciom i manipulowaniu na poziomie jądra.
Błędy wykryte przez Eclypsium pozwoliły hakerom obejść ochronę oferowaną przez Secure Boot i uzyskać pełną kontrolę nad procedurą uruchamiania urządzenia, skutecznie uzyskując dostęp do urządzenia i jego systemu operacyjnego. Cztery błędy zostały ocenione na poziomie 8,3 na 10 w ramach wspólnego systemu punktacji podatności.
Te cztery błędy dotyczą rozwiązania o nazwie BIOSConnect – implementacji znajdującej się na wielu urządzeniach firmy Dell, która ma zapewniać klientom opcje pomocy technicznej. Korzystając z BIOSConnect, legalni technicy pomocy technicznej mogą aktualizować oprogramowanie sprzętowe na urządzeniu z systemem BIOSConnect, a także mogą zdalnie wykonywać operacje przywracania systemu.
Analitycy bezpieczeństwa zauważyli, że podobne wdrożenia zdalnego wsparcia są coraz częściej spotykane nie tylko w firmie Dell, ale także u innych dostawców sprzętu. Mimo że wygoda tego rodzaju zdalnego wsparcia jest niezaprzeczalna, nie należy przeoczyć związanych z tym zagrożeń, co pokazuje odkrycie tych krytycznych błędów.
Niektóre błędy opierają się na lukach związanych z przepełnieniem, podczas gdy główna, używana do uzyskania wpisu i zarejestrowana jako CVE-2021-21571, jest związana ze sposobem, w jaki oprogramowanie BIOSConnect kontaktuje się z serwerami pomocy technicznej firmy Dell.
Gdy oprogramowanie BIOSConnect połączy się z serwerami, da zgodę na każdy certyfikat wieloznaczny. Oznacza to, że atakujący, który ma uprzywilejowany dostęp do sieci, może nadużyć tego i przejąć połączenie, a następnie zainstalować w systemie ofiary wszystko, co chce, a użytkownik końcowy nie będzie mądrzejszy.
Firma Dell już zaczęła przesyłać poprawki na żywo dotyczące tego problemu. Firma wydała oficjalną notę doradczą i aktualizacje dla dużej liczby dotkniętych urządzeń. Pozostała część aktualizacji jest spodziewana w najbliższych dniach, prawdopodobnie na początku lipca.