تحت تأثیر قرار دادن صدها میلیون رایانه شخصی Dell در سراسر جهان توسط اشکالات BIOS PrivEsc

سازنده رایانه‌های شخصی Dell برای رفع آسیب‌پذیری‌های افزایش سطح دسترسی حیاتی متعددی که از سال ۲۰۰۹ شناسایی نشده‌اند، یک به‌روزرسانی منتشر کرده است. این آسیب‌پذیری‌ها به‌طور بالقوه به مهاجمان اجازه می‌دهد امتیازات حالت kernel را به دست آورند و باعث یک denial-of-service شوند.

این مشکلات، توسط محققان SentinelOne در تاریخ ۱ دسامبر سال ۲۰۲۰ به Dell گزارش شده است و در یک درایور به‌روزرسانی firmware به نام “dbutil_2_3.sys” قرار دارد که از قبل روی دستگاه‌های آن نصب شده است. گفته می‌شود صدها میلیون رایانه رومیزی، لپ‌تاپ، نوت‌‌بوک و تبلت تولیدشده توسط این شرکت آسیب‌پذیر هستند.

Dell در گزارش منتشرشده در این مورد گفت[۱]: “درایور dbutil_2_3.sys شامل یک آسیب‌پذیری کنترل دسترسی ناکافی است که ممکن است منجر به تشدید سطح دسترسی، DoE یا افشای اطلاعات شود. دسترسی کاربر تأییدشده‌ی محلی موردنیاز است.”

به هر پنج نقص به‌طور جداگانه شناسه CVE-2021-21551 با نمره ۸٫۸ در مقیاس CVSS اختصاص داده‌شده است. تجزیه‌وتحلیل آسیب‌پذیری‌ها به شرح زیر است:

• CVE-2021-21551: افزایش سطح دسترسی‌های محلی شماره ۱ – فساد حافظه
• CVE-2021-21551: افزایش سطح دسترسی‌های محلی شماره ۲ – فساد حافظه
• CVE-2021-21551: افزایش سطح دسترسی‌های محلی شماره ۳ – فقدان ورودی صحیح
• CVE-2021-21551: افزایش سطح دسترسی‌های محلی شماره ۴ – فقدان ورودی صحیح
• CVE-2021-21551: DoE – مسئله منطق کد

کسیف دکل، محقق ارشد امنیت SentinelOne، در تحلیلی در روز سه‌شنبه ۴ می ۲۰۲۱ اظهار داشت[۲]: “این ایرادات شدید می‌تواند به هر کاربر در رایانه، حتی بدون داشتن سطح دسترسی بالا اجازه دهد سطح دسترسی خود را افزایش داده و کد را در حالت kernel اجرا کند. ازجمله سوءاستفاده‌های آشکار از این آسیب‌پذیری‌ها، استفاده از آن‌ها برای دور زدن محصولات امنیتی است.”

ازآنجاکه این اشکالات مربوط به افزایش سطح دسترسی محلی است، بعید است از طریق اینترنت از راه دور مورد بهره‌برداری قرار گیرند. برای انجام یک حمله، یک دشمن باید به یک حساب غیر ادمین در یک سیستم آسیب‌پذیر دسترسی پیدا کرده باشد و به دنبال آن می‌تواند از آسیب‌پذیری driver برای به دست آوردن دسترسی محلی سوءاستفاده کرد. پس از داشتن این دسترسی، مهاجم می‌تواند از تکنیک‌های دیگر برای اجرای کد دلخواه استفاده کند و به‌صورت جانبی در شبکه سازمان حرکت کند.

اگرچه هیچ مدرکی مبنی بر سوءاستفاده از این آسیب‌پذیری در سطح اینترنت کشف نشده است، SentinelOne گفت که قصد دارد کد اثبات ادعا (PoC) را در تاریخ ۱ ژوئن ۲۰۲۱ منتشر کند و به مشتریان Dell فرصت کافی برای رفع آسیب‌پذیری را می‌دهد.

طبق اعلام الکس ایونسکو[۳]، معمار ارشد Crowdtrike، افشای SentinelOne برای سومین بار است که موضوعی مشابه طی دو سال گذشته به Dell گزارش می‌شود، ابتدا توسط شرکت امنیت سایبری مستقر در Sunnyvale در سال ۲۰۱۹ و دوباره توسط IOActive.

منابع

[۱]https://www.dell.com/support/kbdoc/en-in/000186019/dsa-2021-088-dell-client-platform-security-update-for-dell-driver-insufficient-access-control-vulnerability

[۲]https://labs.sentinelone.com/cve-2021-21551-hundreds-of-millions-of-dell-computers-at-risk-due-to-multiple-bios-driver-privilege-escalation-flaws

[۳] https://twitter.com/aionescu/status/1389713668917501954

[۴] https://thehackernews.com/2021/05/bios-privesc-bug-affects-hundreds-of.html