BIOS-PrivEsc-Fehler betrifft Hunderte Millionen Dell-PCs weltweit

Cyber Security News

Der PC-Hersteller Dell hat ein Update herausgegeben, das mehrere kritische Schwachstellen zur Privilegienerweiterung behebt, die seit 2009 unentdeckt blieben und es Angreifern ermöglichen könnten, Rechte im Kernel-Modus zu erlangen und einen Denial-of-Service-Zustand auszulösen.

Die Probleme, die Dell von Forschern von SentinelOne am 1. Dezember 2020 gemeldet wurden, befinden sich in einem Firmware-Update-Treiber namens “dbutil_2_3.sys”, der auf den Geräten vorinstalliert ist. Hunderte von Millionen Desktops, Laptops, Notebooks und Tablets des Unternehmens sollen anfällig sein.

[Blocked Image: https://thehackernews.com/images/-va9G8j8L8t0/YHc_zcfiuFI/AAAAAAAA3ws/2KY886mKSJkGD0dDrseOimw0dTJfitfmwCLcBGAsYHQ/s300-e100/thn-300-6.png]

“Der Dell-Treiber dbutil_2_3.sys enthält eine Schwachstelle in der Zugriffskontrolle, die zu einer Eskalation der Privilegien, Denial-of-Service oder der Offenlegung von Informationen führen kann. Lokaler authentifizierter Benutzerzugriff ist erforderlich”, so Dell in einem Advisory.

Allen fünf separaten Schwachstellen wurde die CVE-Kennung CVE-2021-21551 mit einem CVSS-Score von 8,8 zugewiesen. Eine Aufschlüsselung der Schwachstellen ist wie folgt. CVE-2021-21551: Local Elevation Of Privileges #1 – Speicherkorruption CVE-2021-21551: Lokale Privilegienerweiterung #2 – Speicherkorruption CVE-2021-21551: Lokale Privilegienerweiterung #3 – Fehlende Eingabevalidierung CVE-2021-21551: Local Elevation Of Privileges #4 – Fehlende Eingabevalidierung CVE-2021-21551: Denial-of-Service – Code-Logik-Problem

“Die hochgradig schwerwiegenden Schwachstellen könnten es jedem Benutzer auf dem Computer, auch ohne Privilegien, ermöglichen, seine Privilegien zu erweitern und Code im Kernel-Modus auszuführen”, so SentinelOne Senior Security Researcher Kasif Dekel in einer Analyse vom Dienstag. “Zu den offensichtlichen Missbräuchen solcher Schwachstellen gehört, dass sie zur Umgehung von Sicherheitsprodukten genutzt werden könnten.”

Da es sich um lokale Privilegieneskalations-Bugs handelt, ist es unwahrscheinlich, dass sie über das Internet aus der Ferne ausgenutzt werden können. Um einen Angriff auszuführen, muss ein Angreifer Zugriff auf ein Nicht-Administrator-Konto auf einem verwundbaren System erlangen, woraufhin die Treiberschwachstelle missbraucht werden kann, um eine lokale Privilegienerweiterung zu erlangen. Mit diesem Zugriff kann der Angreifer dann andere Techniken nutzen, um beliebigen Code auszuführen und sich seitlich im Netzwerk eines Unternehmens zu bewegen.

Obwohl noch keine Anzeichen für einen Missbrauch in freier Wildbahn entdeckt wurden, plant SentinelOne, den Proof-of-Concept (PoC)-Code am 1. Juni 2021 zu veröffentlichen, um Dell-Kunden ausreichend Zeit zu geben, die Schwachstelle zu beheben.

Laut Crowdtrike-Chefarchitekt Alex Ionescu ist die Offenlegung von SentinelOne das dritte Mal, dass Dell in den letzten zwei Jahren die gleiche Schwachstelle gemeldet wurde, zuerst von der in Sunnyvale ansässigen Cybersecurity-Firma im Jahr 2019 und erneut von IOActive. Dell schrieb auch Scott Noone von OSR Open Systems Resources zu, die Schwachstelle gemeldet zu haben.

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com