Estima-se que 30 milhões de computadores Dell são afetados por várias vulnerabilidades que podem permitir que um invasor execute remotamente o código no ambiente de pré-inicialização (BIOS/UEFI), descobriram pesquisadores do Eclypsium.
As vulnerabilidades
As vulnerabilidades afetam 128 modelos de Dell de laptops, desktops e tablets de consumo e negócios, incluindo dispositivos protegidos por PCs Secure Boot e Dell Secured-core.
O problema reside no recurso BIOSConnect da Dell SupportAssist, uma solução que vem pré-estabelecida na maioria das máquinas Dell baseadas no Windows e ajuda os usuários a solucionar problemas de hardware e software.
O BIOSConnect ajuda a realizar uma recuperação remota do SISTEMA OU atualizar o firmware no dispositivo, e o faz conectando-se aos serviços backend da Dell pela internet, baixando o software/firmware necessário e coordenando o processo de recuperação/atualização.
Infelizmente, como os pesquisadores descobriram, esses processos podem ser subvertidos para fornecer conteúdo malicioso a uma máquina alvo.
O Eclypsium descobriu quatro vulnerabilidades.
O CVE-2021-21571 decorre do fato de que a conexão TLS do BIOSConnect ao servidor Backend Dell HTTP aceitará qualquer certificado curinga válido emitido por qualquer um dos CA embutidos contidos no recurso BIOSConnect. O problema está no código de verificação do certificado, que também está presente em algumas das configurações do INICIAL HTTPS.
“Isso permite que um invasor com uma posição de rede privilegiada se passe pela Dell e entregue conteúdo controlado pelo invasor de volta ao dispositivo da vítima”, explicaram os pesquisadores.
CVE-2021-21572, CVE-2021-21573, CVE-2021-21574 são três vulnerabilidades de estouro, duas das quais afetam o processo de recuperação do SISTEMA e uma o processo de atualização de firmware. Cada um deles pode levar à execução arbitrária de código no ambiente pré-inicialização.
Concatenadas, essas vulnerabilidades podem permitir que um adversário de rede privilegiado (por exemplo, executando um ataque máquina no meio) obtenha o controle do processo de inicialização do dispositivo de destino e subverta o sistema operacional e controles de segurança de camadas mais altas.
“Como esse ataque é entregue diretamente ao firmware, ele é invisível para a maioria dos softwares de segurança de ponto final”, observou Jesse Michael, analista principal da Eclypsium.
Como consertar isso?
Os pesquisadores divulgaram a existência das vulnerabilidades à Dell em março de 2021.
CVE-2021-21573 e CVE-2021-21574 foram fixados no lado do servidor no final de maio de 2021 e não exigem nenhuma ação/intervenção dos proprietários dos dispositivos.
As vulnerabilidades CVE-2021-21571 e CVE-2021-21572, por outro lado, exigem atualizações do BIOS do Cliente Dell. A Dell está lançando algumas das atualizações hoje, e outras estão planejadas para julho.
Os usuários dos computadores Dall são aconselhados a verificar a lista de modelos de dispositivos vulneráveis (disponíveis no aviso de segurança da Dell)e ver se eles são afetados. Se estiverem, devem aplicar as atualizações do BIOS através de um dos métodos recomendados.
Se a implementação da atualização for impossível, o risco de a vulnerabilidade ser explorada pode ser atenuado temporariamente desativando os recursos BIOSConnect e HTTPS Boot.
Michael também acrescentou que, mesmo quando o CVE-2021-21571 for removido, as organizações devem garantir que os sistemas internos que usam o HTTPS Boot tenham certificados totalmente controlados pela organização (e não por CAs que emitem certificados amplamente).
Os pesquisadores do Eclypsium compartilharão mais detalhes sobre as vulnerabilidades descobertas no DEF CON deste ano.