Σφάλματα στο BIOS PrivEsc επηρεάζουν εκατοντάδες εκατομμύρια υπολογιστές Dell παγκοσμίως!

Ο κατασκευαστής υπολογιστών Dell, έχει εκδώσει μια ενημέρωση για την επιδιόρθωση πολλαπλών κρίσιμων ευπαθειών που δεν εντοπίστηκαν από το 2009, επιτρέποντας ενδεχομένως στους εισβολείς να αποκτήσουν προνόμια λειτουργίας πυρήνα και να προκαλέσουν μια κατάσταση άρνησης υπηρεσίας.

Τα ζητήματα, τα οποία αναφέρθηκαν στην Dell από ερευνητές του SentinelOne την 1η Δεκεμβρίου 2020, βρίσκονται σε ένα πρόγραμμα οδήγησης ενημέρωσης firmware με το όνομα “dbutil_2_3.sys” που είναι προεγκατεστημένο στις συσκευές του. Εκατοντάδες εκατομμύρια επιτραπέζιοι υπολογιστές, φορητοί υπολογιστές και tablet που κατασκευάζονται από την εταιρεία λέγεται ότι είναι ευάλωτα.

“Ο driver Dell dbutil_2_3.sys περιέχει ανεπαρκή ευπάθεια ελέγχου πρόσβασης που μπορεί να οδηγήσει σε κλιμάκωση προνομίων, άρνηση υπηρεσίας ή αποκάλυψη πληροφοριών. Απαιτείται τοπική επικυρωμένη πρόσβαση χρήστη”, δήλωσε η Dell σε μία ανάρτηση της.

Και στα πέντε ξεχωριστά ελαττώματα έχουν ανατεθεί το αναγνωριστικό CVE CVE-2021-21551 με βαθμολογία CVSS 8,8. Η ανάλυση των ελλείψεων έχει ως εξής –

  • CVE-2021-21551: Local Elevation Of Privileges #1 – Διαφθορά μνήμης
    CVE-2021-21551: Local Elevation Of Privileges #2 – Διαφθορά μνήμης
    CVE-2021-21551: Local Elevation Of Privileges #3 – Έλλειψη επικύρωσης εισαγωγής
    CVE-2021-21551: Local Elevation Of Privileges #4 – Έλλειψη επικύρωσης εισαγωγής
    CVE-2021-21551: Άρνηση υπηρεσίας – Πρόβλημα λογικής κώδικα

“Τα ελαττώματα υψηλής σοβαρότητας θα μπορούσαν να επιτρέψουν σε οποιονδήποτε χρήστη στον υπολογιστή, ακόμη και χωρίς προνόμια, να κλιμακώσει τα προνόμιά του και να εκτελέσει κώδικα σε λειτουργία πυρήνα”, σημείωσε ο Ανώτερος Ερευνητής Ασφάλειας του SentinelOne Kasif Dekel σε ανάλυση της Τρίτης. “Μεταξύ των προφανών καταχρήσεων αυτών των τρωτών σημείων είναι ότι θα μπορούσαν να χρησιμοποιηθούν για την παράκαμψη προϊόντων ασφαλείας.”

Δεδομένου ότι πρόκειται για σφάλματα τοπικής κλιμάκωσης προνομίων, είναι απίθανο να αξιοποιηθούν εξ αποστάσεως μέσω του Διαδικτύου. Για να πραγματοποιήσει μια επίθεση, ένας αντίπαλος θα πρέπει να έχει αποκτήσει πρόσβαση σε έναν λογαριασμό που δεν είναι διαχειριστής σε ένα ευάλωτο σύστημα, μετά από το οποίο μπορεί να γίνει κατάχρηση της ευπάθειας του οδηγού για να αποκτήσει τοπική αύξηση των προνομίων. Οπλισμένοι με αυτήν την πρόσβαση, ο εισβολέας μπορεί στη συνέχεια να αξιοποιήσει άλλες τεχνικές για να εκτελέσει αυθαίρετο κώδικα και να μετακινηθεί πλευρικά στο δίκτυο ενός οργανισμού.

Παρόλο που δεν έχουν εντοπιστεί ενδείξεις κακοποίησης εν τω μεταξύ, η SentinelOne είπε ότι σκοπεύει να κυκλοφορήσει τον κωδικό proof-of-concept (PoC) την 1η Ιουνίου 2021, δίνοντας στους πελάτες της Dell αρκετό χρόνο για να αποκαταστήσουν την ευπάθεια.

Η αποκάλυψη του SentinelOne είναι η τρίτη φορά που το ίδιο ζήτημα έχει αναφερθεί στην Dell τα τελευταία δύο χρόνια, σύμφωνα με τον αρχιτέκτονα του Crowdtrike Alex Ionescu, πρώτη από την εταιρεία κυβερνοασφάλειας που εδρεύει στο Sunnyvale το 2019 και πάλι από την IOActive. Η Dell αναγνώρισε επίσης τον Scott Noone των OSR Open Systems Resources για την αναφορά της ευπάθειας.

 

[signoff]

 

via

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Leave a reply

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ

ΠΡΟΣΦΑΤΑ ΑΡΘΡΑ

Οι τιμές των RAM αναμένεται να αυξηθούν ξανά κατά 40% τουλάχιστον μέσα στο 2026!

Νομίζατε πως η αγορά των μνημών RAM περνά δύσκολη φάση; Ξανασκεφτείτε το, γιατί τα δύσκολα φαίνεται πως δεν έχουν έρθει καν ακόμα και είναι μάλλον μπροστά...

Η Xiaomi λανσάρει το πρώτο της smartphone με ενσωματωμένο ανεμιστήρα

Η Xiaomi παρουσίασε επίσημα το Redmi K90 Ultra, με τιμή εκκίνησης 2.799 γουάν (περίπου 360 ευρώ) και άμεση διαθεσιμότητα στην κινεζική αγορά. Η συσκευή...

Οι αυξήσεις τιμών της Apple ήρθαν στην Ελλάδα: Οι νέες τιμές

Τις τελευταίες ημέρες ακούμε έντονα για τις αυξήσεις των τιμών στα προϊόντα της Apple παγκοσμίως και περιμέναμε να δούμε ποιες θα είναι οι τελικές...

Νέος «μπελάς» στο Netflix: Ένα email ανά προφίλ, αλλά το Gmail έχει κόλπο

Το Netflix ξεκίνησε να απαιτεί μοναδικό email για κάθε προφίλ μέσα σε έναν λογαριασμό, μια αλλαγή που άρχισε να κυλά σε επιλεγμένους χρήστες από...

Τέλος τα παιχνίδια σε φυσική μορφή για νέα παιχνίδια PlayStation από τον Ιανουάριο του 2028

Όσοι μαζεύουν παιχνίδια σε φυσική μορφή στο PlayStation έχουν μέχρι τον Ιανουάριο του 2028 να κάνουν τις αγορές τους, καθώς η Sony κλείνει οριστικά...

ΤΕΛΕΥΤΑΙΕΣ ΠΡΟΣΦΟΡΕΣ

Το “Απόλυτο” VFM και καλύτερο Power Station Στα 1800W (3600W Peak), 1024Wh και 0,01sec UPS… Στα 367€ ΚΟΜΠΛΕ (Βίντεο)

Μετά από δική σας προτροπή και 6 μήνες δοκιμών μπορώ πλέον να ανεβάζω το βίντεο και να πω με ασφάλεια ότι δουλεύει άψογα. Προσωπικά δεν...

Govee Gaming Pixel Light: RETRO Αισθητική 80s και 90s Στο Gaming Γραφείο σου… Κάνει ΠΟΛΛΑ και από 65€ ΚΟΜΠΛΕ θα το Λατρέψεις! (βίντεο)

Είναι Retro είναι πανέμορφο, κάνει πολλά και στοιχίζει τα λιγότερα χρήματα από ποτέ... Όλοι λατρεύουμε την Govee αλλά δεν μπορούμε να την αγγίξουμε πάντα! Το βίντεο...

Αυτοκίνητο ή Μηχανή; Για Επισκευή Προφυλακτήρα, Για Λακκούβες λαμαρίνας, Για Γυάλισμα και για να βάλεις Μπροστά +Bonus 6 Νέα Προϊόντα σε 5 λεπτά!!! (βίντεο)

Ένα θεωρώ χρήσιμο "μπουκέτο" με 6 προϊόντα... που δύσκολα θα σου τα δείξω 1 προς 1 στο κανάλι.. Αφορμή ο φίλος μου ο Χάρης που...

Σηκώνει 200 Κιλά και είναι 3,5 Μέτρα. Ένα SUP για 2 Γυμνάστριες που είναι και ΓΙΑ ΕΣΕΝΑ! Νέο Innoexpo Στα 143€ ΚΟΜΠΛΕ (Βίντεο)

Ένα πραγματικό όνειρο για πολλούς και πολλές από εμάς... Ένα ΑΠΙΣΤΕΥΤΑ σταθερό και ποιοτικό SUP που σίγουρα δεν θα πιστεύεις... την τιμή του... που...

Απλά “ΑΠΑΡΑΙΤΗΤΟ”… Για PC, Laptop, Κινητά… Ίσως το ΙΔΑΝΙΚΟ ΜΙΚΡΟ! Στα 65€ ΚΟΜΠΛΕ… ORICO 10-in-1 M.2 Docking Station (Βίντεο)

Είναι από τα πράγματα που δεν τα υπολογίζεις αν δεν τα έχεις, αλλά αναρωτιέσαι πως μπορούσες χωρίς αυτά μόλις τα αποκτήσεις! Ίσως το ΙΔΑΝΙΚΟ ΜΙΚΡΟ...