Исследователи обнаружили пять серьезных уязвимостей в драйвере, используемом устройствами Dell.
Во вторник SentinelLabs сообщила, что уязвимости были обнаружены исследователем безопасности Касифом Декелем, который исследовал драйвер Dell DBUtil BIOS — программное обеспечение, используемое в настольных и портативных компьютерах, ноутбуках и планшетах производителя.
Команда утверждает, что драйвер был уязвим с 2009 года, хотя в настоящее время нет доказательств того, что ошибки использовались в «дикой природе».
Драйвер DBUtil BIOS поставляется на многих машинах Dell под управлением Windows и содержит компонент — модуль dbutil_2_3.sys, который устанавливается и загружается по запросу путем запуска процесса обновления микропрограммы, а затем выгружается после установки системы. перезагрузка — и этот модуль стал предметом пристального внимания Декеля.
Dell назначила одну CVE (CVE-2021-21551), CVSS 8.8, для покрытия пяти уязвимостей, обнаруженных SentinelLabs.
Две проблемы с повреждением памяти в драйвере, две проблемы с безопасностью, вызванные отсутствием проверки ввода, и одна логическая проблема, которая может быть использована для запуска отказа в обслуживании.
«Эти многочисленные критические уязвимости в программном обеспечении Dell могут позволить злоумышленникам повысить привилегии пользователя, не являющегося администратором, до привилегий режима ядра», — говорят исследователи.
Команда отмечает, что наиболее важной проблемой в драйвере является то, что требования к списку управления доступом (ACL), которые устанавливают разрешения, не вызываются во время запросов управления вводом / выводом (IOCTL).
Поскольку драйверы часто работают с высокими уровнями привилегий, это означает, что запросы могут отправляться локально непривилегированными пользователями.
«[This] может быть вызван непривилегированным пользователем», — говорят исследователи. «Разрешение любому процессу связываться с вашим драйвером часто является плохой практикой, поскольку драйверы работают с наивысшими привилегиями; таким образом, некоторые функции IOCTL могут быть использованы« намеренно »».
Также были раскрыты функции в драйвере, создание уязвимостей чтения / записи, используемых для перезаписи токенов и повышения привилегий.
Другой интересной ошибкой была возможность использования произвольных операндов для выполнения инструкций IN / OUT (I / O) в режиме ядра.
«Поскольку IOPL (уровень привилегий ввода-вывода) равен CPL (текущий уровень привилегий), очевидно, что можно взаимодействовать с периферийными устройствами, такими как жесткий диск и графический процессор, чтобы либо читать / писать напрямую на диск, либо вызывать операции DMA», — команда отметила: «Например, мы могли бы связываться с портом ввода-вывода ATA для прямой записи на диск, а затем перезаписывать двоичный файл, загруженный привилегированным процессом».
SentinelLabs прокомментировал:
"Эти критические уязвимости es, которые присутствуют в устройствах Dell с 2009 года, влияют на миллионы устройств и миллионы пользователей по всему миру. Как и в случае с предыдущей ошибкой, которая скрывалась в течение 12 лет, трудно переоценить влияние, которое она может иметь на пользователей и предприятия, которые не могут исправить ошибки ».
Proof-of-Concept (PoC) код задерживается до июня, чтобы дать пользователям время для исправления.
Dell была проинформирована о результатах Декеля 1 декабря 2020 года. После сортировки и проблем, связанных с некоторыми исправлениями для продуктов с истекшим сроком эксплуатации, Dell работала с Microsoft и теперь выпустила исправленный драйвер для компьютеров с Windows.
PC-гигант выпустил рекомендацию (DSA-2021-088) и документ с часто задаваемыми вопросами, содержащий шаги по исправлению ошибок. Dell описала недостаток безопасности поскольку «драйвер (dbutil_2_3.sys), поставляемый с пакетами служебных программ обновления микропрограммы клиента Dell и программными инструментами [which]содержит недостаточную уязвимость управления доступом, которая может привести к эскалации привилегий, отказу в обслуживании или раскрытию информации».
"Локальная аутентификация u Прежде чем эту уязвимость можно будет использовать, сначала требуется доступ к ser », — добавил Делл.
«Мы устранили уязвимость (CVE-2021-21551) в драйвере (dbutil_2_3.sys), влияющую на некоторые компьютеры Dell под управлением Windows», — сказал представитель Dell. «На сегодняшний день мы не наблюдаем никаких доказательств того, что эта уязвимость использовалась злоумышленниками. Мы признательны исследователям, работающим напрямую с нами над решением проблемы».
Обновление 18.35 BST: Включение и улучшенная ясность процесса загрузки модуля.
Предыдущее и связанное с ним покрытие
Есть подсказка? Свяжитесь с нами через WhatsApp | Сигнал на +447713 025 499 или на Keybase: charlie0
