过去12年来,戴尔系统权限提升的驱动程序一直存在严重漏洞。5月4日,戴尔发布了一份安全公告,称已经修补了一个存在12年的驱动程序漏洞。据估计,该漏洞会影响数亿台戴尔设备。大约380种型号的设备受到影响,从台式机到最新的Alienware和笔记本电脑。该漏洞由安全公司SentinelLabs披露。该漏洞其实是五个连续的漏洞,都位于戴尔驱动程序DBUtil(dbutil_2_3.sys)中。戴尔将这五个漏洞统一追踪为CVE-2021-21551,属于访问控制不足漏洞。这五个漏洞可能允许攻击者获得本机权限来执行恶意程序代码。具体来说,5个漏洞中有4个是提权漏洞,1个是可导致拒绝服务(DoS)攻击的漏洞。目前暂无该漏洞被利用的消息。但研究人员KasifDekel表示,该漏洞“非常容易被利用”,攻击者可以使用网络钓鱼攻击或结合其他策略来放大破坏并在网络中横向移动。由于需要本机权限,该漏洞被列为8.8的风险等级。研究人员在博文中提供了技术信息,但没有透露PoC,让用户有时间安装补丁。他计划在6月1日分享PoC的漏洞利用代码。根据戴尔的常见问题解答,攻击者需要本地访问计算机才能通过网络钓鱼攻击或欺骗用户。此外,它只会在用户更新固件后影响PC,因为PC上没有预装相关的驱动程序。CVE-2021-21551的影响是它从2009年开始就存在于DBUtil中,可能会传播问题驱动程序并将其安装到戴尔用户设备上。受漏洞影响的软件包括BIOS更新、Thunderbolt固件、TPM固件更新、坞站固件更新等。戴尔敦促用户尽快安装更新的固件,同时也解释说该漏洞只影响Windows设备,Linux平台不受影响。
