近日,Eclypsium的安全研究人员发现,由于错误的更新机制,导致数千万台戴尔设备产生了四个严重安全漏洞,攻击者几乎能完全控制和持久化攻击存在漏洞的目标设备。
研究人员表示,这一系列漏洞可以让远程攻击者在戴尔设备的预启动环境中执行任意代码,全球大约3000万个戴尔端点设备受到影响。
根据Eclypsium的分析,这些漏洞影响了129款受安全启动保护的笔记本电脑、平板电脑和台式机,其中包括企业和消费设备。安全启动是一种安全标准,旨在确保设备仅使用其原始设备制造商(OEM)所信任的软件进行启动,以防止恶意接管。
Eclypsium的研究人员表示:“这些漏洞允许特权网络攻击者绕过安全启动保护,控制设备的启动过程,并破坏操作系统和更高层的安全控制。这些漏洞的CVSS得分为8.3(满分10分)。”
具体而言,上述漏洞会影响Dell SupportAssist(大多数基于Windows的戴尔机器上预装的技术支持解决方案)中的BIOSConnect功能。BIOSConnect用于执行远程操作系统恢复或更新设备上的固件。
研究人员在分析中指出:“所有类型的技术供应商都越来越多地实施无线更新流程,以使他们的客户能够尽可能轻松地保持固件最新并从系统故障中恢复。虽然这是一个有价值的服务,但这些过程中的任何漏洞,例如我们在戴尔BIOSConnect中看到的漏洞,都会产生严重的后果。”
该报告指出,特定漏洞允许攻击者远程利用主机的UEFI固件并控制设备上的最高特权代码。
报告总结道:“这种远程可利用性和高权限的结合可能会使远程更新功能成为未来攻击者的诱人目标。”
1. 不安全的TLS连接:冒充戴尔
第一个漏洞(CVE-2021-21571)是可导致远程代码执行(RCE)链的开始。
当BIOSConnect尝试连接到后端Dell HTTP服务器以执行远程更新或恢复时,它会启用系统的BIOS(用于在引导过程中执行硬件初始化的固件)通过Internet与Dell后端服务联系。然后,再协调更新或恢复过程。
Eclypsium研究人员表示,问题在于用于将BIOS连接到后端服务器的TLS连接将会接受任何有效的通配符证书。因此,具有特权网络权限的攻击者可以拦截该连接,冒充戴尔并将攻击者控制的内容发送回受害设备。
分析称:“验证dell.com证书的过程首先要从硬编码服务器8.8.8.8检索DNS记录,然后建立到‘戴尔下载站点’的连接,但是,戴尔设备BIOS中的BIOSConnect功能中内置的任何证书颁发机构颁发的任何有效证书都将满足安全连接条件。”
2. 允许任意代码执行的溢出漏洞
一旦利用第一个“看门人”漏洞将恶意内容传送回受害机器,攻击者就可以选择利用其他三个不同且溢出的漏洞(CVE-2021-21572、CVE-2021-21573、CVE-2021-21574)。研究人员说,这三个漏洞中的任何一个都可用于在目标设备上实施预启动的RCE。
据Eclypsium称,其中两个漏洞会影响操作系统的恢复过程,而第三个漏洞则影响固件更新过程,该公司尚未发布进一步的技术细节。
研究人员表示,任何攻击场景都需要攻击者能够重定向受害者的流量,例如通过中间机器(MITM)攻击——这不是什么障碍。
报告称:“中间机器攻击对复杂的攻击者来说是一个相对较低的门槛,ARP欺骗和DNS缓存中毒等技术已经广为人知且易于自动化。此外,企业虚拟专用网和其他网络设备已成为攻击者的首要目标,这些设备中的缺陷可以让攻击者重定向流量。最后,在家工作的终端用户越来越依赖SOHO网络设备。漏洞在这些类型的消费级网络设备中非常普遍,并已在恶意活动中被广泛利用。”
鉴于成功入侵设备的BIOS将允许攻击者长期驻留,同时控制设备的最高权限,因此进行攻击前的此类基础工作对于网络犯罪分子来说是值得的。报告指出,这是因为他们将控制加载主机操作系统的过程,并且能够禁用保护以保持不被发现。
Eclypsium研究人员说:“这种攻击可以提供对设备几乎无限的控制权,对攻击者来说回报丰厚。”
3. 戴尔发布补丁
戴尔在其安全公告中宣布已经开始在所有受影响的系统上推出BIOS补丁,大多数更新定于周四(6月24日)进行,其他更新将在7月跟进。
根据Eclypsium的建议,用户需要根据戴尔发布的哈希值手动检查哈希值后,从操作系统运行BIOS更新可执行文件,而不是通过BIOSConnect来进行BIOS更新。
参考资料:https://www.dell.com/support/kbdoc/000188682
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
