Milhões de dispositivos Dell expostos a ataques remotos

Pesquisadores de segurança cibernética publicaram recentemente um relatório detalhando quatro problemas de segurança com dispositivos Dell. A estimativa lista 30 milhões de endpoints da Dell que podem sofrer execução remota de código e ataques de BIOS.

A ZDNet relatou o problema, citando analistas que trabalham com a empresa de segurança corporativa Eclypsium. Os pesquisadores listaram um total de 129 laptops, tablets e desktops pré-fabricados da marca Dell, bem como hardware Dell de nível empresarial que sofre com os quatro bugs críticos. Os bugs têm a ver com a implementação do Secure Boot nos dispositivos.

A inicialização segura é um padrão da indústria desenvolvido como um esforço conjunto entre várias empresas da indústria de PCs e seu objetivo é garantir que os dispositivos protegidos por ele só possam inicializar quando o software usado no procedimento de inicialização for confiável para o OEM. O objetivo da tecnologia é evitar invasões mal-intencionadas e adulterações no nível do kernel.

Os bugs descobertos pelo Eclypsium permitiram que os hackers contornassem a proteção oferecida pelo Secure Boot e obtivessem controle total sobre o procedimento de inicialização do dispositivo, obtendo acesso eficaz ao dispositivo e seu sistema operacional. Os quatro bugs foram pontuados com uma pontuação de gravidade de 8,3 de 10 no Common Vulnerability Scoring System.

Os quatro bugs têm a ver com uma solução chamada BIOSConnect - uma implementação encontrada em muitos hardwares da Dell que supostamente fornece opções de suporte para os clientes. Usando o BIOSConnect, os técnicos de suporte legítimos podem atualizar o firmware no dispositivo que executa o BIOSConnect e também podem executar operações de restauração do sistema remotamente.

Os analistas de segurança observaram que implementações de suporte remoto semelhantes estão se tornando cada vez mais comuns, não apenas com a Dell, mas com outros fornecedores de hardware. Mesmo que a conveniência desse tipo de suporte remoto seja inegável, os riscos associados que o acompanham não devem ser esquecidos, como mostrado pela descoberta desses bugs críticos.

Alguns dos bugs dependem de vulnerabilidades de estouro, enquanto o principal que é usado para obter entrada e registrado como CVE-2021-21571 está relacionado à maneira como o software BIOSConnect entra em contato com os servidores de suporte de back-end da Dell.

Quando o software BIOSConnect se conecta aos servidores, ele dá o ok para qualquer certificado curinga. Isso significa que um invasor com acesso privilegiado à rede pode abusar disso e sequestrar a conexão e, em seguida, instalar o que quiser no sistema da vítima, e o usuário final nem perceberá.

A Dell já começou a enviar patches ativos para o problema. A empresa lançou um comunicado oficial e atualizações para um grande número de dispositivos afetados. O restante das atualizações é esperado nos próximos dias, provavelmente no início de julho.