戴尔曝光五个漏洞,影响数百万Inspiron、Vostro、XPS、Alienware系统在系统上执行代码。这类似于最近在InsydeSoftware的InsydeH2O和HP的统一可扩展固件接口(UEFI)中发现的固件漏洞。五个高危漏洞编号分别为CVE-2022-24415、CVE-2022-24416、CVE-2022-24419、CVE-2022-24420和CVE-2022-24421,评分为8.2分(满分)在CVSS评分系统中10分)。发现后三个漏洞的固件安全公司Binarly表示,“由于受信任平台模块(TPM)测量的限制,固件完整性监控系统无法检测到对所有已发现漏洞的主动利用。固件运行时可见性限制的设计使得远程设备健康证明解决方案未检测到受影响的系统。”所有缺陷都与影响固件系统管理模式(SMM)的不正确输入验证漏洞有关,有效地允许本地经过身份验证的攻击者利用系统管理中断(SMI)实现任意代码执行。系统管理模式是指x86微控制器中的专用CPU模式,旨在处理系统范围的功能,例如电源管理、系统硬件控制、热监控和其他专有制造商开发的代码。每当请求这些操作之一时,都会在运行时调用不可屏蔽中断(SMI),它会执行BIOS安装的SMM代码。鉴于SMM代码以最高权限级别执行并且对底层操作系统不可见,此方法允许攻击者部署持久性固件植入。多款戴尔产品受到影响,包括Alienware、Inspiron、Vostro系列、EdgeGateway3000系列,因此戴尔也强烈建议用户尽快升级BIOS。Binarly研究人员说:“这些失败是代码库复杂性或安全关注较少的遗留组件的直接后果,并且仍在该领域广泛部署。在许多情况下,可以通过多次迭代修复相同的漏洞。”但攻击面的复杂性仍然为恶意利用留下了漏洞。”参考来源:https://thehackernews.com/2022/03/new-dell-bios-bugs-affect-millions-of.html
