Los errores de PrivEsc BIOS afectan a cientos de millones de computadoras Dell en todo el mundo

Dell ha publicado una actualización que aborda varias vulnerabilidades de escalada de escalada crítica que no se han identificado desde 2009, lo que podría permitir a los atacantes obtener permisos de modo kernel y causar una condición de denegación de servicio.

Los problemas informados a Dell por los investigadores de SentinelOne el 1 de diciembre de 2020 incluyen un controlador de actualización de firmware llamado «dbutil_2_3.sys» que está preinstalado en sus dispositivos. Según los informes, cientos de millones de computadoras de escritorio, portátiles, portátiles y tabletas fabricadas por la empresa son vulnerables.

«El controlador Dell dbutil_2_3.sys tiene vulnerabilidades de control de acceso insuficientes que podrían conducir a una escalada de permisos, denegación de servicio o divulgación de información. Se requiere acceso de usuario local autenticado», dijo Dell en una advertencia.

A los cinco errores separados se les asignó CVE CVE-2021-21551 con una puntuación CVSS de 8,8. La distribución de las deficiencias es la siguiente:

  • CVE-2021-21551: Elevación local de privilegios n.º 1 – Corrupción de la memoria
  • CVE-2021-21551: Elevación local de privilegios n.º 2 – Corrupción de la memoria
  • CVE-2021-21551: Elevación Local De Privilegios # 3 – Falta de verificación de acceso
  • CVE-2021-21551: Elevación Local De Privilegios # 4 – Falta de verificación de acceso
  • CVE-2021-21551: Denegación de servicio: problema de lógica de código

«Las vulnerabilidades muy graves podrían permitir que cualquier usuario en una computadora, incluso sin permisos, aumente sus permisos y ejecute código en modo kernel», dijo Kasif Dekel, investigador principal de seguridad de SentinelOne, en un análisis del martes. «Entre las explotaciones obvias de tales vulnerabilidades está que podrían usarse para eludir los productos de seguridad».

Debido a los errores de escalada de privilegios locales, es poco probable que se exploten de forma remota a través de Internet. Para que un oponente lleve a cabo un ataque, deberá obtener acceso a una cuenta que no sea de administrador en un sistema vulnerable, después de lo cual la vulnerabilidad del controlador podría explotarse para obtener una elevación local de privilegios. Un atacante, armado con este enfoque, puede usar otras técnicas para ejecutar código arbitrario y moverse lateralmente a través de la red de la organización.

Aunque no se ha identificado evidencia de abuso salvaje, SentinelOne dijo que planea emitir un código de prueba de concepto (PoC) el 1 de junio de 2021, dando a los clientes de Dell tiempo suficiente para abordar la vulnerabilidad.

SentinelOne es la tercera vez que se informa este problema a Dell en dos años, de acuerdo a El arquitecto jefe de Crowdtrike, Alexi Ionescu, primero en 2019 una empresa de seguridad cibernética con sede en Sunnyvale y nuevamente IOActive. Dell también agradeció a Scott Noone de OSR Open Systems Resources por informar sobre la vulnerabilidad.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática