WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Hàng trăm triệu máy tính Dell tồn tại lỗ hổng cho phép leo thang đặc quyền
Nhà sản xuất máy tính Dell vừa phát hành bản cập nhật khắc phục nhiều lỗ hổng đã tồn tại từ năm 2009, có thể cho phép kẻ tấn công giành đặc quyền kernel và gây ra từ chối dịch vụ.
Các lỗ hổng, được báo cho Dell ngày 1/12/2020, nằm trong một trình điều khiển cập nhật firmware có tên "dbutil_2_3.sys" cài sẵn trên các thiết bị của hãng. Hàng trăm triệu máy tính để bàn, laptop, notebook và tablet do Dell sản xuất được cho là tồn tại lỗ hổng.
"Trình điều khiển Dell dbutil_2_3.sys chứa lỗ hổng kiểm soát truy cập không đầy đủ có thể dẫn đến leo thang đặc quyền, từ chối dịch vụ hoặc tiết lộ thông tin. Để khai thác cần có quyền truy cập của người dùng cục bộ được xác thực", Dell cho biết.
Tất cả năm lỗ hổng được gán mã CVE-2021-21551 với điểm CVSS là 8,8:
• CVE-2021-21551: Nâng cao đặc quyền cục bộ # 1 - Lỗi bộ nhớ
• CVE-2021-21551: Nâng cao đặc quyền cục bộ # 2 – Lỗi bộ nhớ
• CVE-2021-21551: Nâng cao đặc quyền cục bộ # 3 - Thiếu xác thực đầu vào
• CVE-2021-21551: Nâng cao đặc quyền cục bộ # 4 - Thiếu xác thực đầu vào
• CVE-2021-21551: Từ chối dịch vụ - Vấn đề logic mã
"Các lỗ hổng có thể cho phép bất kỳ người dùng nào trên máy tính, ngay cả khi không có đặc quyền, nâng cao đặc quyền và chạy mã ở chế độ kernel. Ngoài ra, các lỗ hổng có thể bị lạm dụng để vượt qua các sản phẩm bảo vệ máy tính", nhà nghiên cứu của SentinelOne, Kasif Dekel lưu ý.
Vì đây lỗi đặc quyền cục bộ, các lỗ hổng khó có thể bị khai thác từ xa qua Internet. Để thực hiện một cuộc tấn công, kẻ xấu cần có quyền truy cập vào tài khoản không phải quản trị viên trên một hệ thống tồn tại lỗ hổng, sau đó lợi dụng lỗ hổng trình điều khiển để giành đặc quyền cục bộ. Khi có được quyền truy cập này, kẻ tấn công có thể tận dụng các kỹ thuật khác để thực thi mã tùy ý và di chuyển trong mạng của tổ chức.
Dù không có bằng chứng cho thấy các lỗ hổng đang bị lạm dụng trong thực tế, SentinelOne có kế hoạch phát hành PoC vào ngày 1/6/2021 để khách hàng của Dell có thêm thời gian khắc phục lỗ hổng.
Tiết lộ của SentinelOne là lần thứ ba vấn đề tương tự được báo cáo cho Dell trong vòng hai năm qua. Lần đầu tiên bởi công ty an ninh mạng có trụ sở tại Sunnyvale vào năm 2019 và lần thứ hai bởi IOActive.
Các lỗ hổng, được báo cho Dell ngày 1/12/2020, nằm trong một trình điều khiển cập nhật firmware có tên "dbutil_2_3.sys" cài sẵn trên các thiết bị của hãng. Hàng trăm triệu máy tính để bàn, laptop, notebook và tablet do Dell sản xuất được cho là tồn tại lỗ hổng.
"Trình điều khiển Dell dbutil_2_3.sys chứa lỗ hổng kiểm soát truy cập không đầy đủ có thể dẫn đến leo thang đặc quyền, từ chối dịch vụ hoặc tiết lộ thông tin. Để khai thác cần có quyền truy cập của người dùng cục bộ được xác thực", Dell cho biết.
Tất cả năm lỗ hổng được gán mã CVE-2021-21551 với điểm CVSS là 8,8:
• CVE-2021-21551: Nâng cao đặc quyền cục bộ # 1 - Lỗi bộ nhớ
• CVE-2021-21551: Nâng cao đặc quyền cục bộ # 2 – Lỗi bộ nhớ
• CVE-2021-21551: Nâng cao đặc quyền cục bộ # 3 - Thiếu xác thực đầu vào
• CVE-2021-21551: Nâng cao đặc quyền cục bộ # 4 - Thiếu xác thực đầu vào
• CVE-2021-21551: Từ chối dịch vụ - Vấn đề logic mã
"Các lỗ hổng có thể cho phép bất kỳ người dùng nào trên máy tính, ngay cả khi không có đặc quyền, nâng cao đặc quyền và chạy mã ở chế độ kernel. Ngoài ra, các lỗ hổng có thể bị lạm dụng để vượt qua các sản phẩm bảo vệ máy tính", nhà nghiên cứu của SentinelOne, Kasif Dekel lưu ý.
Vì đây lỗi đặc quyền cục bộ, các lỗ hổng khó có thể bị khai thác từ xa qua Internet. Để thực hiện một cuộc tấn công, kẻ xấu cần có quyền truy cập vào tài khoản không phải quản trị viên trên một hệ thống tồn tại lỗ hổng, sau đó lợi dụng lỗ hổng trình điều khiển để giành đặc quyền cục bộ. Khi có được quyền truy cập này, kẻ tấn công có thể tận dụng các kỹ thuật khác để thực thi mã tùy ý và di chuyển trong mạng của tổ chức.
Dù không có bằng chứng cho thấy các lỗ hổng đang bị lạm dụng trong thực tế, SentinelOne có kế hoạch phát hành PoC vào ngày 1/6/2021 để khách hàng của Dell có thêm thời gian khắc phục lỗ hổng.
Tiết lộ của SentinelOne là lần thứ ba vấn đề tương tự được báo cáo cho Dell trong vòng hai năm qua. Lần đầu tiên bởi công ty an ninh mạng có trụ sở tại Sunnyvale vào năm 2019 và lần thứ hai bởi IOActive.
Theo The Hacker News