El controlador Dell vulnerable pone en riesgo cientos de millones de sistemas

Un controlador que se ha introducido durante los últimos 12 años en los dispositivos informáticos empresariales y de consumo de Dell contiene múltiples vulnerabilidades que podrían conducir a un aumento de los privilegios en el sistema.

Se estima que cientos de millones de computadoras Dell, desde computadoras de escritorio y portátiles hasta tabletas, han recibido el controlador vulnerable a través de actualizaciones de BIOS.

Cinco defectos en uno

Se descubrió una colección de cinco defectos, detectados colectivamente como CVE-2021-21551, en DBUtil, un controlador de las máquinas Dell que se instalan y cargan durante el proceso de actualización del BIOS y se descargan en el siguiente reinicio.

Echando un vistazo más de cerca al controlador DBUtil, Kasif Dekel, un investigador de seguridad de la firma de ciberseguridad Sentinel One, descubrió que se puede aprovechar "para aumentar los privilegios de un no administrador a los privilegios del modo kernel".

Un código de atacante que se ejecute con este nivel de permisos tendría acceso sin restricciones a todo el hardware disponible en el sistema, incluida la referencia a cualquier dirección de memoria.

Este tipo de vulnerabilidad no se considera crítica porque un atacante que la explota debe haber comprometido la computadora primero. Sin embargo, permite que los actores de amenazas y el malware logren persistencia en el sistema infectado.

Si bien solo hay un número de seguimiento único, Dekel dice que hay cinco fallas separadas, la mayoría de las cuales conducen a una escalada de privilegios y un problema de lógica de código que conduce a la denegación de servicio.

CVE-2021-21551 Elevación local de privilegios Deterioro de la memoria
CVE-2021-21551 Elevación local de privilegios Deterioro de la memoria
CVE-2021-21551 Elevación local de privilegios Falta de validación de entrada
CVE-2021-21551 Elevación local de privilegios Falta de validación de entrada
CVE-2021-21551 Negación de servicio Problema de lógica de código

El investigador proporciona información técnica en una publicación de blog hoy, pero retiene los detalles para desencadenar y explotar fallas para que los usuarios tengan tiempo de aplicar el parche. Planea compartir el código de explotación de prueba de concepto el 1 de junio.

Dekel afirma que Dell ha preparado un archivo aviso de seguridad por esta vulnerabilidad. El remedio es un controlador fijo, pero el investigador afirma que en el momento de escribir este artículo la empresa no había revocado el certificado del controlador vulnerable, lo que significa que un adversario en la red aún puede usarlo en un ataque.

“Un atacante con acceso a la red de una organización también podría obtener acceso para ejecutar código en sistemas Dell sin parches y utilizar esta vulnerabilidad para lograr la elevación local de privilegios. Los atacantes pueden usar otras técnicas para atacar la red más grande, como el movimiento lateral "- Centinela uno

A pesar de la longevidad del controlador DBUtil vulnerable y la gran cantidad de víctimas potenciales, Sentinel One afirma que no ha visto ningún indicador de que estas vulnerabilidades se exploten en la naturaleza. Sin embargo, esto puede cambiar pronto.

La compañía tiene publicó un video para mostrar que un controlador DBUtil vulnerable puede explotarse para lograr una escalada de privilegios local en un sistema de destino.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir