Vulnerabilidades descubiertas en Dell ponen en riesgo a más de 30 millones de PCs
Investigadores de seguridad han encontrado cuatro vulnerabilidades de seguridad importantes en la función BIOSConnect de Dell SupportAssist. Las vulnerabilidades permiten a los atacantes ejecutar código de forma remota dentro del BIOS de los dispositivos afectados.
Según el sitio web de Dell, el software SupportAssist está “preinstalado en la mayoría de los dispositivos Dell que ejecutan el sistema operativo Windows”. Por otra parte, BIOSConnect ofrece funciones de actualización remota del firmware y recuperación del sistema operativo.
La cadena de vulnerabilidades descubiertas por los investigadores de Eclypsium tienen una puntuación base CVSS de 8.3 de10. Estas permiten a atacantes remotos privilegiados hacerse pasar por Dell.com. Es decir, pueden tomar el control del proceso de arranque del dispositivo de destino para vulnerar los controles de seguridad a nivel del sistema operativo.
“El ataque permitiría a los adversarios controlar el proceso de arranque del dispositivo y subvertir el sistema operativo y los controles de seguridad de capa superior”.
Explicación de los investigadores de Eclypsium en el informe que detalla las vulnerabilidades.
Las vulnerabilidades afectan a 129 modelos Dell de laptops, computadoras de escritorio y tablets para empresas y consumidores. Esto incluye los dispositivos protegidos por arranque seguro y computadoras Dell Secured-core. En resumen, aproximadamente 30 millones de dispositivos individuales están actuablemente expuestos a ataques.
Los investigadores identificaron una vulnerabilidad que conducía a una conexión TLS insegura desde el BIOS a Dell identificada como CVE-2021-21571. Además, encontraron tres vulnerabilidades de desbordamiento identificadas como CVE-2021-21572, CVE-2021-21573 y CVE-2021-21574.
Vulnerabilidades
Dos de las fallas de seguridad de desbordamiento “afectan el proceso de recuperación del sistema operativo. No obstante, la otra afecta el proceso de actualización del firmware. Las tres vulnerabilidades son independientes y cada una podría llevar a la ejecución de código arbitrario en el BIOS.
Si deseas, puedes encontrar información adicional sobre las vulnerabilidades en el informe de Eclypsium. Ademas, también puedes consultar la lista completa de modelos de dispositivos afectados en el aviso de Dell.
Recomendamos a los usuarios que no utilicen BIOSConnect para actualizar su BIOS
Según Eclypsium, los usuarios deberán actualizar el BIOS/UEFI del sistema para todos los sistemas afectados. Los investigadores también recomiendan usar un método alternativo que no sea la función BIOSConnect de SupportAssist para aplicar actualizaciones del BIOS en sus dispositivos.
Dell está proporcionando actualizaciones de BIOS/UEFI para los sistemas afectados y actualizaciones de los ejecutables afectados en Dell.com.
CVE-2021-21573 y CVE-2021-21574 no requieren una acción adicional del cliente, ya que se abordaron en el lado del servidor el 28 de mayo de 2021. Sin embargo, las vulnerabilidades CVE-2021-21571 y CVE-2021-21572 requieren que las actualizaciones del BIOS del cliente Dell se aborden por completo.
Los usuarios que no pueden actualizar inmediatamente sus sistemas pueden deshabilitar BIOSConnect desde la página de configuración del BIOS. También pueden deshabilitarlo mediante la herramienta de administración remota del sistema Dell Command | Configure (DCC).
Las vulnerabilidades específicas cubiertas aquí permiten a un atacante explotar de forma remota el firmware UEFI de un host. Y, además, pueden obtener control sobre el código más privilegiado del dispositivo, concluyeron los investigadores.
Esta combinación de explotación remota y altos privilegios probablemente hará que la funcionalidad de actualización remota sea un objetivo atractivo para los atacantes en el futuro. Por ello, las organizaciones deben asegurarse de monitorear y actualizar sus dispositivos preventivamente.
Software de Dell plagado de fallas críticas
Esta no es la primera vez que los propietarios de computadoras Dell han estado expuestos a ataques por vulnerabilidades de seguridad encontradas en SupportAssist.
Hace dos años, en mayo de 2019, la compañía parcheó otra vulnerabilidad de ejecución remota de código (RCE) de SupportAssist de alta gravedad. la vulnerabilidad era causada por una falla de validación de origen incorrecto y fue reportada por el investigador de seguridad Bill Demirkapi en 2018.
Este RCE permitió a atacantes no autenticados en la misma capa de acceso a la red con sistemas específicos ejecutar de forma remota ejecutables arbitrarios. El atacante podía ejecutar esos archivos en dispositivos sin parches.
El investigador de seguridad Tom Forbes encontró una vulnerabilidad RCE similar en el software Dell System Detect en 2015. En este caso, la vulnerabilidad permitía a los atacantes activar el software vulnerable para descargar y ejecutar archivos arbitrarios sin la interacción del usuario.
SupportAssist fue nuevamente parcheado un año después, en febrero de 2020, para abordar una falla de seguridad. Esto debido a un error de secuestro de orden de búsqueda de DLL. La vulnerabilidad permitió a los atacantes locales ejecutar código arbitrario con privilegios de administrador en dispositivos vulnerables.
Por último, pero no menos importante, el mes pasado Dell abordó una vulnerabilidad más. La vulnerabilidad permitía escalar los privilegios de los usuarios que no son administradores a los privilegios del kernel. La vulnerabilidad se encontraba en el controlador DBUtil que viene preinstalado con decenas de millones de dispositivos Dell.
