数亿台戴尔桌面,笔记本电脑,笔记本电脑和平板电脑需要更新他们的戴尔DBUTIL驱动程序,以修复一个12岁的漏洞,该漏洞将系统暴露于攻击。
DBUTIL的CVE-2021-21551追踪的BUG,允许操作系统和系统应用程序与计算机的BIOS和硬件交互的DBUTIL的2.3版。
在今天发布并与记录共享的报告中,Security公司Sentinelone表示,它在此驱动程序中发现了一种漏洞,可以滥用,以允许威胁Actors访问驱动程序函数,并使用系统和内核级别权限执行恶意代码。
研究人员表示,DBUTIL漏洞不能通过互联网利用,以远程访问未分割的系统。相反,获得了初步访问计算机的威胁演员,即使是低级帐户,也可以滥用该错误以完全控制受损的PC - 在安全社区通常将其作为特权升级漏洞描述的内容中。
这个虫子与众不同。事实上,这是系统驱动程序中发现的典型错误,其中许多年前已被编码,并且并不总是遵循安全的编码实践。
在过去的几年里,许多在安全研究界中发现了来自广泛的硬件供应商的驱动程序中的类似特权升级问题。
关于驾驶员安全问题的最广泛研究是由安全公司Eclypsium在其“拧紧的司机”纸上进行,呈现在黑帽2019。
在不同场合的SafebacheAcreace的团队也进行了类似的研究[1,2,3]。
所有以前的工作的一般结论是,大多数司机缺乏最基本的安全编码实践,并且经常暴露他们安装的系统 - 甚至是ATM-到用户特权升级攻击等产品。
因此,研究人员现在争辩说,社区和供应商应该为安全错误的驱动程序做更多的事情,并且在攻击者意识到计算机的驱动程序架构之前修补了漏洞,这是一个肥沃的特权升级可能性。
现在,一些威胁演员已经意识到这一点。例如,安全公司Sophos观察到罗布语赎金软件团伙在受感染的系统上部署旧版技能驱动程序,因此它可以利用它来获得对受感染的主机的完全控制。
至于这个戴尔错误,Sentinelone表示,自12月以来,它与戴尔合作,确保修复。该公司表示计划于6月1日释放CVE-2021-21551的概念证明代码。它建议系统管理员和用户在那之前应用Dell DButil更新。
然而,今天报告的问题并不是戴尔的新问题。根据Crowdstrike Security Expert Alex Ionescu的说法,这是两年的第三次,有人向硬件供应商报告了同样的问题。
它令人遗憾的是,它最终拍摄了3个单独的公司超过2年的跨度,以便报告同样的问题,但最终戴尔用户现在受到保护,这是重要的结果。感谢@ RickMartineZ06来保持压力。伟大的写作@kasifdekel!
- Alex Ionescu(@aionescu)5月4日,2021年5月4日