3000万台戴尔设备面临远程BIOS攻击的风险易受持续攻击的目标设备。研究人员表示,这一系列漏洞可能允许远程攻击者在戴尔设备的预启动环境中执行任意代码,影响全球约3000万台戴尔端点设备。根据Eclypsium的分析,这些漏洞影响了129款受安全启动保护的笔记本电脑、平板电脑和台式机,包括企业和消费设备。安全启动是一种安全标准,旨在确保设备仅使用其原始设备制造商(OEM)信任的软件启动,以防止恶意接管。“这些漏洞允许特权网络攻击者绕过安全启动保护,控制设备的启动过程,并破坏操作系统和更高层的安全控制,”Eclypsium研究人员说。这些漏洞的CVSS得分为8.3(满分10)。“具体来说,上述漏洞会影响DellSupportAssist中的BIOSConnect功能,DellSupportAssist是大多数基于Windows的戴尔机器上预装的技术支持解决方案。BIOSConnect用于执行远程操作系统恢复或更新设备上的固件。研究人员表示:“各种类型的技术供应商越来越多地实施无线更新流程,以使他们的客户尽可能轻松地保持固件最新并从系统故障中恢复。”在他们的分析中指出。虽然这是一项有价值的服务,但这些过程中的任何漏洞,例如我们在DellBIOSConnect中看到的漏洞,都会产生严重的后果。该报告指出,特定漏洞允许攻击者远程利用主机的UEFI固件并控制最高权限代码。“这种远程可利用性和高权限的结合可能使远程更新功能成为未来攻击者的一个有吸引力的目标,”报告总结道。1.不安全的TLS连接:冒充戴尔的第一个漏洞(CVE-2021-21571)是可能导致远程代码执行(RCE)的链条的开始。当BIOSConnect尝试连接到后端DellHTTP服务器以执行远程更新或恢复时,它会启用系统的BIOS(用于在引导过程中执行硬件初始化的固件)通过Internet联系Dell后端服务。然后,协调更新或恢复过程。Eclypsium研究人员表示,问题在于用于将BIOS连接到后端服务器的TLS连接将接受任何有效的通配符证书。因此,具有特权网络访问权限的攻击者可以拦截该连接,冒充戴尔并将攻击者控制的内容发送回受害者设备。“验证dell.com证书的过程开始于从硬编码服务器8.8.8.8检索DNS记录,然后建立与“戴尔下载站点”的连接,但是,由BIOS内置的BIOSConnect功能颁发的任何证书戴尔设备的任何授权机构颁发的有效证书都将满足安全连接条件。”2.允许任意代码执行的溢出漏洞不同和溢出漏洞(CVE-2021-21572、CVE-2021-21573、CVE-2021-21574)。研究人员表示,这三个漏洞中的任何一个都可用于在目标设备上实施预启动RCE。据Eclypsium称,其中两个漏洞会影响操作系统恢复过程,而第三个会影响固件更新过程,该公司尚未发布更多技术细节。研究人员表示,任何攻击场景都需要攻击者能够重定向受害者的流量,例如通过中间机(MITM)攻击——这并不是什么大障碍。报告称:“中间机器攻击对老练的攻击者来说是一个相对较低的进入门槛,ARP欺骗和DNS缓存中毒等技术众所周知且易于自动化。”此外,企业VPN和其他网络设备是这些设备的首要目标,这些设备中的缺陷可能允许攻击者重定向流量。最后,在家工作的最终用户越来越依赖SOHO网络设备。漏洞普遍存在于这些类型的消费级网络设备中,并已在恶意活动中被广泛利用于互联网。”鉴于成功破坏设备的BIOS将允许攻击者长期逗留,同时控制设备的最高权限,因此在攻击之前做这种基础工作对网络犯罪分子来说是值得的。报告指出,这是因为他们将控制加载主机操作系统的过程,并能够禁用保护以保持不被发现。Eclypsium研究人员表示:“这种攻击可以提供对设备几乎无限的控制权,攻击者的回报是巨大的。”3.戴尔发布补丁戴尔在其安全公告中宣布,它已经开始在所有受影响的系统上推出BIOS补丁,大部分更新安排在星期四(6月24日)进行,其他更新将在7月进行。正如Eclypsium所建议的那样,用户需要在根据戴尔发布的哈希手动检查哈希后从操作系统运行BIOS更新可执行文件,而不是通过BIOSConnect进行BIOS更新。参考资料:https://www.dell.com/support/kbdoc/000188682【本文为专栏作者“安全牛”原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)求授权】点此阅读该作者更多好文
