信息來源:Freebuf
在過去的12年中,戴爾的臺(tái)式機(jī)、筆記本、平板電腦等設(shè)備的驅(qū)動(dòng)程序中一直存在嚴(yán)重漏洞,會(huì)導(dǎo)致系統(tǒng)權(quán)限增加。
5月4日,戴爾發(fā)布安全公告,稱修補(bǔ)了一個(gè)存在長達(dá)12年的驅(qū)動(dòng)程序漏洞。該漏洞預(yù)估影響上億臺(tái)戴爾設(shè)備。從臺(tái)式機(jī)到最新的Alienware和筆記本電腦,大約380種型號(hào)的設(shè)備受到了影響。
該漏洞由安全企業(yè)Sentinel Labs披露,該漏洞實(shí)際上是五個(gè)連續(xù)漏洞,皆位于戴爾驅(qū)動(dòng)程序DBUtil(dbutil_2_3.sys)之中。戴爾將這五個(gè)漏洞統(tǒng)一追蹤為編號(hào)CVE-2021-21551,歸屬于訪問管控不足漏洞。
這五個(gè)漏洞可使攻擊者獲得本機(jī)權(quán)限以執(zhí)行惡意程序代碼。具體來看,五個(gè)漏洞中四個(gè)是提權(quán)漏洞,一個(gè)是可引發(fā)拒絕服務(wù)(Denial of Service,DoS)攻擊漏洞。
目前尚無該漏洞被利用的消息。但研究人員Kasif Dekel表示,該漏洞“很容易被利用”,攻擊者可能利用釣魚攻擊或結(jié)合其他手法擴(kuò)大傷害,在網(wǎng)絡(luò)上橫向移動(dòng)。由于需要本機(jī)權(quán)限,該漏洞風(fēng)險(xiǎn)層級(jí)被列為8.8。該研究人員在一篇博客文章中提供了技術(shù)信息,但未披露PoC,方便用戶有時(shí)間安裝補(bǔ)丁。他計(jì)劃在6月1日分享PoC的漏洞代碼。
根據(jù)戴爾的常見問題解答,攻擊者需要對(duì)計(jì)算機(jī)進(jìn)行本地訪問才能攻擊或通過網(wǎng)絡(luò)釣魚等其他方式欺騙用戶。此外,只有在用戶更新固件后,它才會(huì)影響PC,因?yàn)橄嚓P(guān)的驅(qū)動(dòng)程序未預(yù)裝在PC上。
CVE-2021-21551的沖擊在于它從2009年就已存在DBUtil中,它可能傳播問題驅(qū)動(dòng)程序,并將之安裝在戴爾用戶設(shè)備上。受漏洞影響的軟件包括BIOS更新、Thunderbolt固件、TPM固件更新、dock固件更新等。
戴爾呼吁用戶盡快安裝更新版固件,但也說明該漏洞只影響Windows設(shè)備,Linux平臺(tái)不受影響。