Vulnerabilidades de alta gravedad de los controladores Dell afectan a cientos de millones de dispositivos

El error de escalada de privilegios permaneció oculto durante 12 años y ha estado presente en todas las PC, tabletas y portátiles Dell desde 2009.

Cinco fallas de seguridad de alta gravedad en el controlador de actualización de firmware de Dell están afectando potencialmente a cientos de millones de computadoras de escritorio, portátiles, portátiles y tabletas Dell, dijeron los investigadores.

Los errores no se han revelado durante 12 años y podrían permitir la capacidad de eludir productos de seguridad, ejecutar código y pivotar a otras partes de la red para el movimiento lateral, según SentinelLabs.

Los errores de escalamiento de privilegios locales múltiples (LPE) existen en el módulo del controlador de actualización de firmware versión 2.3 (dbutil_2_3.sys), que ha estado en uso desde 2009. El componente del controlador maneja las actualizaciones de firmware de Dell a través de la utilidad BIOS de Dell, y viene pre -instalado en la mayoría de las máquinas Dell que ejecutan Windows.

«Cientos de millones de dispositivos Dell tienen actualizaciones enviadas de forma regular, tanto para los sistemas de consumidores como para las empresas», según los investigadores de SentinelLabs, en una publicación de blog del martes.

Los cinco errores se rastrean colectivamente como CVE-2021-21551 y tienen una calificación de vulnerabilidad-gravedad CVSS de 8.8 sobre 10.

Escalada de privilegios al modo kernel

Los investigadores informaron que las fallas permiten a los adversarios escalar su estado de usuario no administrador a tener privilegios de modo kernel.

Los cinco errores específicamente son:

  • LPE No. 1, debido a la corrupción de la memoria
  • LPE No 2, también debido a la corrupción de la memoria
  • LPE No. 3, debido a la falta de validación de entrada
  • LPE No. 4, también debido a la falta de validación de entrada
  • Defecto de denegación de servicio, debido a un problema de lógica de código

Los investigadores de SentinelLabs dijeron que están reteniendo un exploit de prueba de concepto (PoC) hasta el 1 de junio, que será para el número 1 de LPE. Sin embargo, desglosaron algunos problemas generales con el controlador.

“El primer y más inmediato problema con el controlador de actualización de firmware surge del hecho de que acepta solicitudes de control de entrada / salida (IOCTL) sin ningún requisito de ACL [lista de control de acceso]”, según la publicación. “Eso significa que puede ser invocado por un usuario sin privilegios. Permitir que cualquier proceso se comunique con su conductor suele ser una mala práctica, ya que los conductores operan con los más altos privilegios «.

Las ACL son una colección de reglas de permiso y denegación que brindan seguridad al bloquear a los usuarios no autorizados y permitir que los usuarios autorizados accedan a recursos específicos.

Cómo corregir errores de controladores de Dell

Dell ha publicado parches, disponibles en Dell Security Advisory DSA-2021-088 . Sin embargo, SentinelLabs notó un problema potencial.

«Tenga en cuenta que el certificado aún no fue revocado (en el momento de redactar este documento)», dijeron los investigadores. «Esto no se considera la mejor práctica, ya que el controlador vulnerable todavía se puede utilizar en un ataque BYOVD como se mencionó anteriormente».

El impacto que esto podría tener en los usuarios y las empresas que no logran parchear es «de gran alcance y significativo», según el análisis, aunque hasta ahora no se han detectado exploits in-the-wild.

Sin embargo, es muy probable que eso cambie pronto: «Con cientos de millones de empresas y usuarios actualmente vulnerables, es inevitable que los atacantes busquen a aquellos que no toman las medidas adecuadas», dijeron los investigadores.