3000 万台戴尔设备面临远程 BIOS 攻击风险

近日,Eclypsium 的安全研究人员发现,由于错误的更新机制,导致数千万台戴尔设备产生了四个严重安全漏洞,攻击者几乎能完全控制和持久化攻击存在漏洞的目标设备。

研究人员表示,这一系列漏洞可以让远程攻击者在戴尔设备的预启动环境中执行任意代码,全球大约 3000 万个戴尔端点设备受到影响。

根据 Eclypsium 的分析,这些漏洞影响了 129 款受安全启动保护的笔记本电脑、平板电脑和台式机,其中包括企业和消费设备。安全启动是一种安全标准,旨在确保设备仅使用其原始设备制造商 (OEM) 所信任的软件进行启动,以防止恶意接管。

Eclypsium 的研究人员表示:“这些漏洞允许特权网络攻击者绕过安全启动保护,控制设备的启动过程,并破坏操作系统和更高层的安全控制。这些漏洞的 CVSS 得分为 8.3(满分 10 分)。”

具体而言,上述漏洞会影响 Dell SupportAssist(大多数基于 Windows 的戴尔机器上预装的技术支持解决方案) 中的 BIOSConnect 功能。BIOSConnect 用于执行远程操作系统恢复或更新设备上的固件。

研究人员在分析中指出:“所有类型的技术供应商都越来越多地实施无线更新流程,以使他们的客户能够尽可能轻松地保持固件最新并从系统故障中恢复。虽然这是一个有价值的服务,但这些过程中的任何漏洞,例如我们在戴尔 BIOSConnect 中看到的漏洞,都会产生严重的后果。”

该报告指出,特定漏洞允许攻击者远程利用主机的 UEFI 固件并控制设备上的最高特权代码。

报告总结道:“这种远程可利用性和高权限的结合可能会使远程更新功能成为未来攻击者的诱人目标。”

1. 不安全的 TLS 连接:冒充戴尔

第一个漏洞 (CVE-2021-21571) 是可导致远程代码执行 (RCE) 链的开始。

当 BIOSConnect 尝试连接到后端 Dell HTTP 服务器以执行远程更新或恢复时,它会启用系统的 BIOS(用于在引导过程中执行硬件初始化的固件) 通过 Internet 与 Dell 后端服务联系。然后,再协调更新或恢复过程。

Eclypsium 研究人员表示,问题在于用于将 BIOS 连接到后端服务器的 TLS 连接将会接受任何有效的通配符证书。因此,具有特权网络权限的攻击者可以拦截该连接,冒充戴尔并将攻击者控制的内容发送回受害设备。

分析称:“验证 dell.com 证书的过程首先要从硬编码服务器 8.8.8.8 检索 DNS 记录,然后建立到‘戴尔下载站点’的连接,但是,戴尔设备 BIOS 中的 BIOSConnect 功能中内置的任何证书颁发机构颁发的任何有效证书都将满足安全连接条件。”

2. 允许任意代码执行的溢出漏洞

一旦利用第一个“看门人”漏洞将恶意内容传送回受害机器,攻击者就可以选择利用其他三个不同且溢出的漏洞 (CVE-2021-21572、CVE-2021-21573、CVE-2021-21574)。研究人员说,这三个漏洞中的任何一个都可用于在目标设备上实施预启动的 RCE。

据 Eclypsium 称,其中两个漏洞会影响操作系统的恢复过程,而第三个漏洞则影响固件更新过程,该公司尚未发布进一步的技术细节。

研究人员表示,任何攻击场景都需要攻击者能够重定向受害者的流量,例如通过中间机器 (MITM) 攻击——这不是什么障碍。

报告称:“中间机器攻击对复杂的攻击者来说是一个相对较低的门槛,ARP 欺骗和 DNS 缓存中毒等技术已经广为人知且易于自动化。此外,企业虚拟专用网和其他网络设备已成为攻击者的首要目标,这些设备中的缺陷可以让攻击者重定向流量。最后,在家工作的终端用户越来越依赖 SOHO 网络设备。漏洞在这些类型的消费级网络设备中非常普遍,并已在恶意活动中被广泛利用。”

鉴于成功入侵设备的 BIOS 将允许攻击者长期驻留,同时控制设备的最高权限,因此进行攻击前的此类基础工作对于网络犯罪分子来说是值得的。报告指出,这是因为他们将控制加载主机操作系统的过程,并且能够禁用保护以保持不被发现。

Eclypsium 研究人员说:“这种攻击可以提供对设备几乎无限的控制权,对攻击者来说回报丰厚。”

3. 戴尔发布补丁

戴尔在其安全公告中宣布已经开始在所有受影响的系统上推出 BIOS 补丁,大多数更新定于周四 (6 月 24 日) 进行,其他更新将在 7 月跟进。

根据 Eclypsium 的建议,用户需要根据戴尔发布的哈希值手动检查哈希值后,从操作系统运行 BIOS 更新可执行文件,而不是通过 BIOSConnect 来进行 BIOS 更新。