Kilka dni temu analitycy cyberbezpieczeństwa ujawnili szereg podatności w zabezpieczeniach funkcji BIOSConnect w systemie BIOS. Luki dotyczą firmy Dell i mogą zostać wykorzystane przez uprzywilejowanego złośliwego aktora w celu wykonania dowolnego kodu na poziomie systemu BIOS/UEFI podatnego urządzenia Dell.
W tym ataku, cyberprzestępca ma możliwość wykonania zdalnie kodu w środowisku jeszcze przed uruchomieniem systemu, co może zostać wykorzystane do przejęcia kontroli nad całym urządzeniem i dowolnego manipulowania jego pamięcią. Praktycznie nieograniczona kontrola nad urządzeniem, którą ten atak może zapewnić, sprawia, że warto włożyć w to trochę pracy.
Ogólnie rzecz biorąc, podatności dotyczą 128 modeli urządzeń Dell obejmujących laptopy, komputery stacjonarne i tablety dla klientów indywidualnych i biznesowych. Szacuje się, że łącznie na świecie może to być 30 milionów pojedynczych urządzeń. Co gorsza, luki wpływają także na komputery, które mają włączoną funkcję bezpiecznego rozruchu (Safe Boot), która miała właśnie chronić przed tym, aby żaden rootkit nie został zainstalowany w pamięci.
Funkcja BIOSConnect, o której mówimy, oferuje przywracanie rozruchu poprzez połączenie sieciowe, umożliwiając systemowi BIOS łączenie się z serwerami firmy Dell za pośrednictwem protokołu HTTPS. Daje to możliwość zdalnego pobrania obrazu systemu operacyjnego, co umożliwia użytkownikom odzyskanie systemu w przypadku uszkodzenia, wymiany lub braku obrazu dysku lokalnego.
Pomyślne wykorzystanie luk może oznaczać utratę integralności urządzenia, ponieważ atakujący może zdalnie wykonać złośliwy kod w środowisku przed uruchomieniem, który może zmienić początkowy stan systemu operacyjnego i złamać zabezpieczenia na poziomie systemu operacyjnego.
Cztery podatności mają skumulowaną ocenę 8.3, gdy są połączone i wykorzystane razem:
– CVE-2021-21571 (wynik CVSS: 5.9) — Stos HTTPS Dell UEFI BIOS wykorzystywany przez funkcję Dell BIOSConnect i funkcję Dell HTTPS Boot zawiera lukę w zabezpieczeniach nieprawidłowego certyfikatu. Nieuwierzytelniona osoba atakująca może zdalnie wykorzystać tę lukę za pomocą ataku typu „man-in-the-middle”, który może prowadzić do odmowy usługi i manipulowania ładunkiem.
– CVE-2021-21572, CVE-2021-21573 i CVE-2021-21574 (wynik CVSS: 7.2) — funkcja Dell BIOSConnect zawiera lukę przepełnienia bufora. Uwierzytelniony złośliwy użytkownik z lokalnym dostępem do systemu może potencjalnie wykorzystać tę lukę w celu uruchomienia dowolnego kodu i ominięcia ograniczeń UEFI.
Specjaliści twierdzą, że połączenie zdalnej eksploitacji oraz możliwości przejęcia kontroli nad najbardziej uprzywilejowanym kodem na urządzeniu może sprawić, że takie luki staną się koronnym celem dla atakujących.
Problemy zostały zgłoszone firmie Dell 3 marca, po czym 28 maja wdrożono aktualizacje po stronie serwera w celu naprawienia CVE-2021-21573 i CVE-2021-21574. Firma Dell wydała również aktualizacje oprogramowania układowego BIOS po stronie klienta, aby usunąć pozostałe dwie wady.
Ponadto producent komputerów PC udostępnił obejścia umożliwiające wyłączenie funkcji BIOSConnect i HTTPS Boot w przypadku klientów, którzy nie są w stanie natychmiast zastosować łatek.
„Pomyślne złamanie systemu BIOS dałoby atakującemu wysoki stopień kontroli nad urządzeniem” – powiedzieli naukowcy z Eclypsium, którzy odkryli podatności. „Atakujący może kontrolować cały proces boot’owania systemu operacyjnego hosta i wyłączać zabezpieczenia, aby pozostać niewykrytym. Umożliwiłoby to atakującemu ustanowienie stałej trwałości w systemie, jednocześnie kontrolując najwyższe uprawnienia na urządzeniu”.