Производитель ПК Dell выпустил обновление для устранения нескольких критических уязвимостей повышения привилегий, которые оставались незамеченными с 2009 года и потенциально позволяли злоумышленникам получить привилегии режима-ядра и вызывать отказы в обслуживании.
Проблемы, о которых сообщили Dell исследователи из SentinelOne 1 декабря 2020 года, кроются в драйвере обновления прошивки под названием "dbutil_2_3.sys", который предустановлен на устройствах компании. Уязвимыми считаются сотни миллионов настольных компьютеров, ноутбуков и планшетов, произведенных компанией.
«Драйвер Dell dbutil_2_3.sys содержит уязвимость недостаточного контроля доступа, которая может привести к повышению привилегий, отказу в обслуживании или утечке информации. Для эксплуатации требуется доступ локального аутентифицированного пользователя», - говорится в сообщении Dell.
Всем пяти отдельным дефектам присвоен идентификатор CVE-2021-21551 с рейтингом CVSS 8.8.:
- CVE-2021-21551: Локальное повышение привилегий #1 - повреждение памяти;
- CVE-2021-21551: Локальное повышение привилегий #2 - повреждение памяти;
- CVE-2021-21551: Локальное повышение привилегий #3 - Отсутствие проверки вводимых данных;
- CVE-2021-21551: Локальное повышение привилегий #4 - Отсутствие проверки вводимых данных;
- CVE-2021-21551: Отказ в обслуживании - проблема с логикой кода.
«Дефекты высокой критичности могут позволить любому пользователю компьютера, даже без привилегий, повысить свои привилегии и запустить код в режиме ядра», - отметил старший исследователь безопасности SentinelOne Касиф Декель в отчете, опубликованном во вторник. «Среди очевидных способов эксплуатации - они могут быть использованы для обхода продуктов безопасности».
Поскольку это локальные ошибки повышения привилегий, они вряд ли могут быть использованы удаленно через интернет. Для осуществления атаки противнику необходимо получить доступ к не администраторской учетной записи на уязвимой системе, после чего можно использовать уязвимость драйвера для локального повышения привилегий. Вооружившись этим доступом, злоумышленник может использовать другие методы для выполнения произвольного кода и перемещения по сети организации.
Хотя никаких доказательств применения этих уязвимостей в реальных атаках обнаружено не было, компания SentinelOne заявила, что планирует выпустить код доказательства концепции (PoC) 1 июня 2021 года, что даст клиентам Dell достаточно времени для устранения уязвимости.
По словам главного архитектора Crowdtrike Алекса Ионеску, компания SentinelOne уже в третий раз за последние два года сообщает Dell об одной и той же проблеме: сначала об этом сообщила фирма по кибербезопасности из Саннивейла в 2019 году, а затем снова о ней же сообщила компания IOActive. Dell также приписала Скотту Нуну из OSR Open Systems Resources заслуги сообщения о данных уязвимостях.
Перевод сделан со статьи: https://thehackernews.com
