Los errores de PrivEsc BIOS afectan a cientos de millones de computadoras Dell en todo el mundo

Noticias 7 de febrero de 2022

Dell ha publicado una actualización que aborda varias vulnerabilidades de escalada de escalada crítica que no se han identificado desde 2009, lo que podría permitir a los atacantes obtener permisos de modo kernel y causar una condición de denegación de servicio.

Los problemas informados a Dell por los investigadores de SentinelOne el 1 de diciembre de 2020 incluyen un controlador de actualización de firmware llamado «dbutil_2_3.sys» que está preinstalado en sus dispositivos. Según los informes, cientos de millones de computadoras de escritorio, portátiles, portátiles y tabletas fabricadas por la empresa son vulnerables.

«El controlador Dell dbutil_2_3.sys tiene vulnerabilidades de control de acceso insuficientes que podrían conducir a una escalada de permisos, denegación de servicio o divulgación de información. Se requiere acceso de usuario local autenticado», dijo Dell en una advertencia.

A los cinco errores separados se les asignó CVE CVE-2021-21551 con una puntuación CVSS de 8,8. La distribución de las deficiencias es la siguiente:

  • CVE-2021-21551: Elevación local de privilegios n.º 1 – Corrupción de la memoria
  • CVE-2021-21551: Elevación local de privilegios n.º 2 – Corrupción de la memoria
  • CVE-2021-21551: Elevación Local De Privilegios # 3 – Falta de verificación de acceso
  • CVE-2021-21551: Elevación Local De Privilegios # 4 – Falta de verificación de acceso
  • CVE-2021-21551: Denegación de servicio: problema de lógica de código

«Las vulnerabilidades muy graves podrían permitir que cualquier usuario en una computadora, incluso sin permisos, aumente sus permisos y ejecute código en modo kernel», dijo Kasif Dekel, investigador principal de seguridad de SentinelOne, en un análisis del martes. «Entre las explotaciones obvias de tales vulnerabilidades está que podrían usarse para eludir los productos de seguridad».

Debido a los errores de escalada de privilegios locales, es poco probable que se exploten de forma remota a través de Internet. Para que un oponente lleve a cabo un ataque, deberá obtener acceso a una cuenta que no sea de administrador en un sistema vulnerable, después de lo cual la vulnerabilidad del controlador podría explotarse para obtener una elevación local de privilegios. Un atacante, armado con este enfoque, puede usar otras técnicas para ejecutar código arbitrario y moverse lateralmente a través de la red de la organización.

Aunque no se ha identificado evidencia de abuso salvaje, SentinelOne dijo que planea emitir un código de prueba de concepto (PoC) el 1 de junio de 2021, dando a los clientes de Dell tiempo suficiente para abordar la vulnerabilidad.

SentinelOne es la tercera vez que se informa este problema a Dell en dos años, de acuerdo a El arquitecto jefe de Crowdtrike, Alexi Ionescu, primero en 2019 una empresa de seguridad cibernética con sede en Sunnyvale y nuevamente IOActive. Dell también agradeció a Scott Noone de OSR Open Systems Resources por informar sobre la vulnerabilidad.

Continua leyendo

La policía investiga un ‘incidente cibernético’ en el grupo médico de Guernsey

El ransomware GandCrab y el virus Ursnif se propagan a través de macros de MS Word

Investigadores lanzan herramienta que encuentra robots vulnerables en Internet

Nuevo exploit amenaza a más de 9000 enrutadores Cisco RV320 / RV325 hackeables en todo el mundo

El nuevo error de FaceTime permite que las personas que llaman lo escuchen y lo vean sin que usted responda

La policía cerró xDedic: un mercado en línea para los ciberdelincuentes