t04ndv
Moderator
-
02/02/2021
-
18
-
85 bài viết
Dell SupportAssist lỗi khiến hơn 30 triệu PC gặp rủi ro
Các nhà nghiên cứu bảo mật đã tìm thấy 4 lỗ hổng bảo mật chính trong tính năng BIOSConnect của Dell SupportAssist, cho phép kẻ tấn công thực thi mã từ xa trong BIOS của các thiết bị bị ảnh hưởng.
Phần mềm SupportAssist được "cài đặt sẵn trên hầu hết các thiết bị Dell chạy hệ điều hành Windows", trong khi BIOSConnect cung cấp các tính năng cập nhật firmware từ xa và khôi phục hệ điều hành.
Chuỗi lỗi này do các nhà nghiên cứu Eclypsium phát hiện, điểm CVSS 8.3/10, cho phép kẻ tấn công từ xa mạo danh Dell.com và kiểm soát quá trình khởi động thiết bị từ đó phá vỡ các kiểm soát bảo mật cấp hệ điều hành.
Trong một báo cáo với BleepingComputer, các nhà nghiên cứu giải thích: "Một cuộc tấn công như vậy sẽ cho phép hacker kiểm soát quá trình khởi động của thiết bị và phá hủy hệ điều hành cũng như các kiểm soát bảo mật lớp cao hơn. Sự cố ảnh hưởng 129 mẫu máy tính xách tay, máy tính để bàn và máy tính bảng dành cho người dùng và doanh nghiệp, bao gồm cả các thiết bị đã được bảo vệ bằng Secure Boot và các PC có lõi bảo mật của Dell", với khoảng 30 triệu thiết bị cá nhân bị tấn công.
Nghiên cứu chỉ ra một vấn đề dẫn đến kết nối TLS không an toàn từ BIOS đến Dell (CVE-2021-21571) và ba lỗ hổng tràn (CVE-2021-21572, CVE-2021-21573 và CVE-2021-21574). "Hai trong số lỗ hổng tràn bộ đệm "ảnh hưởng đến quá trình khôi phục hệ điều hành. Lỗi còn lại ảnh hưởng đến quá trình cập nhật chương trình cơ sở. Cả ba lỗ hổng không liên quan đến nhau và mỗi lỗ hổng đều dẫn đến thực thi mã tùy ý trong BIOS", Eclypsium cho biết.
Thông tin bổ sung về các lỗ hổng có thể được tìm thấy trong báo cáo của Eclypsium và danh sách đầy đủ các mẫu thiết bị bị ảnh hưởng trong tư vấn của Dell .
Người dùng không nên sử dụng BIOSConnect để cập nhật BIOS
Theo Eclypsium, người dùng được khuyến cáo cập nhật BIOS/ UEFI cho tất cả hệ thống bị ảnh hưởng và có thể sử dụng phương pháp thay thế khác với tính năng BIOSConnect. Dell hiện đang cung cấp các bản cập nhật này trên Dell.com.
CVE-2021-21573 và CVE-2021-21574 không yêu cầu khách hàng tương tác gì thêm vì hai lỗi đã được giải quyết phía máy chủ từ ngày 28/5. Tuy nhiên, các lỗ hổng CVE-2021-21571 và CVE-2021-21572 yêu cầu Dell Client BIOS cập nhật để được xử lý hoàn toàn.
Người dùng, nếu không thể cập nhật hệ thống của mình ngay lập tức, có thể tắt BIOSConnect từ trang thiết lập BIOS; sử dụng Dell Command hoặc công cụ quản lý hệ thống từ xa của Configure (DCC).
Các nhà nghiên cứu kết luận: "Các lỗ hổng cho phép kẻ tấn công khai thác từ xa firmware UEFI của máy chủ và giành quyền kiểm soát mã đặc quyền cao nhất trên thiết bị".
"Chính sự kết hợp giữa khả năng khai thác từ xa và các đặc quyền cao khiến chức năng cập nhật từ xa trở thành mục tiêu hấp dẫn đối với những kẻ tấn công trong tương lai và các tổ chức nên đảm bảo theo dõi và cập nhật thiết bị một cách phù hợp".
Phần mềm Dell gặp các lỗi nghiêm trọng
Đây không phải lần đầu tiên chủ nhân máy tính Dell bị tấn công bởi các lỗ hổng bảo mật được tìm thấy trong phần mềm SupportAssist.
Hai năm trước, tháng 5/2019, hãng đã vá một lỗ hổng thực thi mã từ xa SupportAssist (RCE) có mức độ nghiêm trọng cao, tồn tại do xác thực sai nguồn gốc và đã được nhà nghiên cứu bảo mật Bill Demirkapi báo cáo năm 2018. RCE này cho phép những kẻ tấn công chưa được xác thực, trên cùng lớp Network Access với các hệ thống mục tiêu thực thi từ xa, thực thi tùy ý từ xa trên các thiết bị chưa được vá.
Nhà nghiên cứu bảo mật Tom Forbes đã tìm thấy một lỗ hổng RCE tương tự trong phần mềm Dell System Detect năm 2015, cho phép các kẻ tấn công kích hoạt chương trình lỗi để tải xuống và thực thi các tệp tùy ý mà không cần sự tương tác của người dùng.
SupportAssist cũng từng được vá hồi tháng 2/2020, giải quyết một lỗ hổng bảo mật do lỗi chiếm quyền điều khiển tìm kiếm DLL gây ra. Lỗi này cho phép những kẻ tấn công nội bộ thực thi mã tùy ý với đặc quyền Quản trị trên các thiết bị có lỗ hổng.
Vào tháng trước, Dell đã giải quyết một lỗ hổng có thể dẫn đến chuyển đặc quyền từ người dùng không phải quản trị viên lên đặc quyền hạt nhân, một lỗi được tìm thấy trong trình điều khiển DBUtil có trên hàng chục triệu thiết bị Dell.
Chuỗi lỗi này do các nhà nghiên cứu Eclypsium phát hiện, điểm CVSS 8.3/10, cho phép kẻ tấn công từ xa mạo danh Dell.com và kiểm soát quá trình khởi động thiết bị từ đó phá vỡ các kiểm soát bảo mật cấp hệ điều hành.
Trong một báo cáo với BleepingComputer, các nhà nghiên cứu giải thích: "Một cuộc tấn công như vậy sẽ cho phép hacker kiểm soát quá trình khởi động của thiết bị và phá hủy hệ điều hành cũng như các kiểm soát bảo mật lớp cao hơn. Sự cố ảnh hưởng 129 mẫu máy tính xách tay, máy tính để bàn và máy tính bảng dành cho người dùng và doanh nghiệp, bao gồm cả các thiết bị đã được bảo vệ bằng Secure Boot và các PC có lõi bảo mật của Dell", với khoảng 30 triệu thiết bị cá nhân bị tấn công.
Thông tin bổ sung về các lỗ hổng có thể được tìm thấy trong báo cáo của Eclypsium và danh sách đầy đủ các mẫu thiết bị bị ảnh hưởng trong tư vấn của Dell .
Người dùng không nên sử dụng BIOSConnect để cập nhật BIOS
Theo Eclypsium, người dùng được khuyến cáo cập nhật BIOS/ UEFI cho tất cả hệ thống bị ảnh hưởng và có thể sử dụng phương pháp thay thế khác với tính năng BIOSConnect. Dell hiện đang cung cấp các bản cập nhật này trên Dell.com.
CVE-2021-21573 và CVE-2021-21574 không yêu cầu khách hàng tương tác gì thêm vì hai lỗi đã được giải quyết phía máy chủ từ ngày 28/5. Tuy nhiên, các lỗ hổng CVE-2021-21571 và CVE-2021-21572 yêu cầu Dell Client BIOS cập nhật để được xử lý hoàn toàn.
Người dùng, nếu không thể cập nhật hệ thống của mình ngay lập tức, có thể tắt BIOSConnect từ trang thiết lập BIOS; sử dụng Dell Command hoặc công cụ quản lý hệ thống từ xa của Configure (DCC).
Các nhà nghiên cứu kết luận: "Các lỗ hổng cho phép kẻ tấn công khai thác từ xa firmware UEFI của máy chủ và giành quyền kiểm soát mã đặc quyền cao nhất trên thiết bị".
"Chính sự kết hợp giữa khả năng khai thác từ xa và các đặc quyền cao khiến chức năng cập nhật từ xa trở thành mục tiêu hấp dẫn đối với những kẻ tấn công trong tương lai và các tổ chức nên đảm bảo theo dõi và cập nhật thiết bị một cách phù hợp".
Phần mềm Dell gặp các lỗi nghiêm trọng
Đây không phải lần đầu tiên chủ nhân máy tính Dell bị tấn công bởi các lỗ hổng bảo mật được tìm thấy trong phần mềm SupportAssist.
Hai năm trước, tháng 5/2019, hãng đã vá một lỗ hổng thực thi mã từ xa SupportAssist (RCE) có mức độ nghiêm trọng cao, tồn tại do xác thực sai nguồn gốc và đã được nhà nghiên cứu bảo mật Bill Demirkapi báo cáo năm 2018. RCE này cho phép những kẻ tấn công chưa được xác thực, trên cùng lớp Network Access với các hệ thống mục tiêu thực thi từ xa, thực thi tùy ý từ xa trên các thiết bị chưa được vá.
Nhà nghiên cứu bảo mật Tom Forbes đã tìm thấy một lỗ hổng RCE tương tự trong phần mềm Dell System Detect năm 2015, cho phép các kẻ tấn công kích hoạt chương trình lỗi để tải xuống và thực thi các tệp tùy ý mà không cần sự tương tác của người dùng.
SupportAssist cũng từng được vá hồi tháng 2/2020, giải quyết một lỗ hổng bảo mật do lỗi chiếm quyền điều khiển tìm kiếm DLL gây ra. Lỗi này cho phép những kẻ tấn công nội bộ thực thi mã tùy ý với đặc quyền Quản trị trên các thiết bị có lỗ hổng.
Vào tháng trước, Dell đã giải quyết một lỗ hổng có thể dẫn đến chuyển đặc quyền từ người dùng không phải quản trị viên lên đặc quyền hạt nhân, một lỗi được tìm thấy trong trình điều khiển DBUtil có trên hàng chục triệu thiết bị Dell.
Theo BleepingComputer
Chỉnh sửa lần cuối bởi người điều hành: