Miljoner Dell-enheter utsatta för fjärranfall

Forskare inom cybersäkerhet publicerade nyligen en rapport som beskriver fyra säkerhetsproblem med Dell-enheter. Uppskattningen listar 30 miljoner Dell-slutpunkter som kan drabbas av fjärrkodkörning och BIOS-attacker.

ZDNet rapporterade om frågan och citerade analytiker som arbetar med företagets säkerhetsföretag Eclypsium. Forskarna listade totalt 129 bärbara datorer, surfplattor och förbyggda stationära datorer från Dell, samt Dell-maskinvara som drabbas av de fyra kritiska buggarna. Felet har att göra med implementeringen av Secure Boot på enheterna.

Secure Boot är en industristandard som utarbetats som ett gemensamt arbete mellan olika PC-branschföretag och dess syfte är att säkerställa att de enheter som skyddas med den endast kan starta när programvaran som används i startproceduren är tillförlitlig av OEM. Syftet med tekniken är att förhindra skadliga uppköp och manipulering på kärnnivå.

De fel som upptäcktes av Eclypsium gjorde det möjligt för hackare att komma runt det skydd som erbjuds av Secure Boot och få fullständig kontroll över enhetens startprocedur och effektivt få tillgång till enheten och dess operativsystem. De fyra buggarna har fått poäng med en svårighetsgrad på 8,3 av 10 enligt Common Vulnerability Scoring System.

De fyra buggarna har att göra med en lösning som heter BIOSConnect - en implementering som finns på en hel del Dell-hårdvara som ska ge supportalternativ för kunderna. Med BIOSConnect kan legitima supporttekniker uppdatera firmware på enheten som kör BIOSConnect och kan också utföra systemåterställningsåtgärder på distans.

Säkerhetsanalytikerna noterade att liknande fjärrsupportimplementeringar blir allt vanligare inte bara hos Dell utan med andra hårdvaruleverantörer. Även om bekvämligheten med denna typ av fjärrsupport är obestridlig, bör de därmed sammanhängande riskerna inte förbises, vilket framgår av upptäckten av dessa kritiska buggar.

Några av buggarna förlitar sig på överflödssårbarheter, medan den viktigaste som används för att få tillträde och registreras som CVE-2021-21571 är relaterad till hur BIOSConnect-programvaran kontaktar Dells backend-supportservrar.

När BIOSConnect-programvaran ansluts till servrarna skulle det ge ok till alla jokerteckencertifikat. Det betyder att en angripare som har privilegierad nätverksåtkomst kan missbruka detta och kapa anslutningen och sedan installera vad de vill på offrets system, och slutanvändaren skulle inte vara klokare.

Dell har redan börjat driva live-patchar för problemet. Företaget släppte en officiell rådgivningsanmärkning och uppdateringar för ett stort antal berörda enheter. Resten av uppdateringarna förväntas de närmaste dagarna, troligen i början av juli.

June 24, 2021
Uncategorized