Nuevos errores de alta gravedad afectan a 128 modelos de tabletas y PC Dell

Investigadores de seguridad cibernética revelaron el jueves una cadena de vulnerabilidades que afectan la función BIOSConnect dentro de Dell Client BIOS que podría ser abusada por un adversario de red privilegiado para obtener la ejecución de código arbitrario en el nivel de BIOS/UEFI del dispositivo afectado.

«Como el atacante tiene la capacidad de ejecutar código de forma remota en el entorno previo al arranque, esto puede usarse para subvertir el sistema operativo y socavar la confianza fundamental en el dispositivo», dijeron investigadores de la empresa de seguridad de dispositivos empresariales Eclypsium. «El control virtualmente ilimitado sobre un dispositivo que este ataque puede proporcionar hace que el fruto del trabajo valga la pena para el atacante».

En total, las fallas afectan a 128 modelos de Dell que abarcan computadoras portátiles, de escritorio y tabletas para consumidores y empresas, con un total estimado de 30 millones de dispositivos individuales. Peor aún, las debilidades también afectan a las computadoras que tienen habilitado el arranque seguro, una función de seguridad diseñada para evitar que se instalen rootkits en el momento del arranque en la memoria.

BIOSConnect ofrece recuperación de arranque basada en la red, lo que permite que el BIOS se conecte a los servidores backend de Dell a través de HTTPS para descargar una imagen del sistema operativo, lo que permite a los usuarios recuperar sus sistemas cuando la imagen del disco local está dañada, reemplazada o ausente.

La explotación exitosa de las fallas podría significar la pérdida de la integridad del dispositivo, con el atacante capaz de ejecutar código malicioso de forma remota en el entorno previo al arranque que podría alterar el estado inicial del sistema operativo y romper las protecciones de seguridad a nivel del sistema operativo.

Los cuatro defectos tienen una calificación de gravedad acumulada de 8.3 cuando se encadenan juntos:

  • CVE-2021-21571 (Puntuación CVSS: 5,9): la pila HTTPS de BIOS UEFI de Dell aprovechada por la función BIOSConnect de Dell y la función de arranque HTTPS de Dell contiene una vulnerabilidad de validación de certificado incorrecta. Un atacante remoto no autenticado puede explotar esta vulnerabilidad mediante un ataque de persona en el medio que puede conducir a una denegación de servicio y manipulación de la carga útil.
  • CVE-2021-21572, CVE-2021-21573 y CVE-2021-21574 (Puntuación CVSS: 7,2): la función Dell BIOSConnect contiene una vulnerabilidad de desbordamiento de búfer. Un usuario administrador malicioso autenticado con acceso local al sistema puede explotar potencialmente esta vulnerabilidad para ejecutar código arbitrario y eludir las restricciones de UEFI.

La combinación de explotación remota y la capacidad de obtener control sobre el código más privilegiado en el dispositivo podría hacer que tales vulnerabilidades sean un objetivo lucrativo para los atacantes, dijeron los investigadores.

La empresa con sede en Oregón informó los problemas a Dell el 3 de marzo, luego de lo cual se implementaron actualizaciones del lado del servidor el 28 de mayo para remediar CVE-2021-21573 y CVE-2021-21574. Dell también lanzó actualizaciones de firmware del BIOS del lado del cliente para abordar las dos fallas restantes.

Además, el fabricante de PC ha lanzado soluciones alternativas para deshabilitar las funciones BIOSConnect y HTTPS Boot para los clientes que no pueden aplicar los parches de inmediato.

«Comprometer con éxito el BIOS de un dispositivo le daría a un atacante un alto grado de control sobre un dispositivo», dijeron los investigadores de Eclypsium. «El atacante podría controlar el proceso de carga del sistema operativo host y deshabilitar las protecciones para no ser detectado. Esto le permitiría a un atacante establecer una persistencia continua mientras controla los privilegios más altos en el dispositivo».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática