Cientos de millones de usuarios de Dell corren el riesgo de sufrir errores de privilegios del kernel - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Cientos de millones de usuarios de Dell corren el riesgo de sufrir errores de privilegios del kernel

Hola otra vez. Soy Eduardo Arroyo y en esta ocasión te voy a hablar sobre Cientos de millones de usuarios de Dell corren el riesgo de sufrir errores de privilegios del kernel

Cientos de millones de usuarios de Dell corren el riesgo de sufrir errores de privilegios del kernel

El error de escalamiento de privilegios ha estado oculto durante 12 años y ha estado presente en todas las computadoras, tabletas y portátiles Dell que se envían desde 2009.

Según los investigadores, cinco agujeros de seguridad de alta gravedad en el controlador de actualización de firmware de Dell están afectando potencialmente a cientos de millones de computadoras de escritorio, portátiles, portátiles y tabletas Dell.

Según SentinelLabs, los errores han estado ocultos durante 12 años y podrían permitir la capacidad de eludir productos de seguridad, ejecutar código y pivotar a otras partes de la red para el movimiento lateral.

Hay varios errores de escalado de privilegios locales (LPE) en el módulo de actualización de firmware del controlador versión 2.3 (dbutil_2_3.sys), que ha estado en uso desde 2009. El componente del controlador administra las actualizaciones de firmware de Dell a través de la utilidad BIOS de Dell y viene preinstalado en la mayoría de las máquinas Dell con Windows.

«Cientos de millones de dispositivos Dell tienen actualizaciones periódicas, tanto para el consumidor como para los sistemas comerciales», según los investigadores de SentinelLabs, escribiendo en un Publicación de blog el martes.

Los cinco errores se detectan colectivamente como CVE-2021-21551 y tienen un índice de gravedad de vulnerabilidad CVSS de 8.8 sobre 10.

Los investigadores informaron que las fallas permiten a los adversarios aumentar su estado de un usuario no administrador a tener privilegios de modo kernel.

Los cinco errores específicamente son:

  • LPE no. 1, debido a la corrupción de la memoria
  • LPE No 2, también debido a la corrupción de la memoria
  • LPE no. 3, debido a la falta de validación de entrada
  • LPE no. 4, también debido a la falta de validación de entrada
  • Defecto de denegación de servicio, debido a un problema de lógica de código

Los investigadores de SentinelLabs dijeron que tienen un exploit de prueba de concepto (PoC) hasta el 1 de junio, que será para LPE # 1. Sin embargo, solucionaron algunos problemas generales con el controlador.

«El primer y más inmediato problema con el controlador de actualización de firmware es que acepta solicitudes de control de entrada / salida (IOCTL) sin [access-control list] Requisitos de ACL «, según el mensaje.» Esto significa que puede ser invocado por un usuario sin privilegios. Permitir que cualquier proceso se comunique con su controlador es a menudo una mala práctica, ya que los controladores operan con los privilegios más altos «.

Las ACL son un conjunto de reglas de autorización y denegación que brindan seguridad al bloquear a los usuarios no autorizados y permitir que los usuarios autorizados accedan a recursos específicos.

Un ejemplo de los problemas con esto se puede ilustrar con IOCTL 0x9B0C1EC8. El uso de esta solicitud permite controlar completamente los argumentos pasados ​​a la función «memmove», que permite la copia de los bloques de memoria. Esto, a su vez, conduce a una vulnerabilidad de lectura / escritura arbitraria, anotaron los investigadores.

«Una técnica de explotación clásica para esta vulnerabilidad sería anular los valores de ‘presente’ y ‘habilitado’ en el miembro de token privilegiado dentro de EPROCESS del proceso cuyos privilegios queremos escalar», explicaron. EPROCESS actúa como un objeto de proceso para una rutina determinada.

SentinelLabs también destacó el problema en el controlador que está en el corazón del LPE No. 3 y 4: Es posible ejecutar instrucciones de entrada / salida (E / S) en modo kernel con operandos arbitrarios, es decir, instrucciones que especifican qué datos se van a manipular u operar.

«Esto es menos trivial de explotar y puede requerir el uso de varias técnicas creativas para lograr la elevación de privilegios», explicaron. Sin embargo, un exploit exitoso podría permitir a los atacantes interactuar con dispositivos periféricos como el disco duro (HDD) o GPU para leer / escribir directamente en el disco o invocar el acceso directo a la memoria (DMA), que se utiliza para leer y escribir. Memoria física operaciones.

«Por ejemplo, podríamos comunicarnos con el puerto ATA IO para escribir directamente en el disco y luego sobrescribir un archivo binario cargado por un proceso privilegiado», según el análisis.

Los investigadores también discutieron un tercer problema no relacionado con los errores del controlador IOCTL: el archivo del controlador en sí se encuentra en C: Windows Temp, lo que abre la puerta a otros problemas.

«La forma clásica de explotar esto sería convertir cualquier controlador vulnerable de traer sus propios (BYOVD) en una vulnerabilidad de elevación de privilegios, ya que cargar un controlador (vulnerable) significa que se requieren privilegios de administrador, lo que esencialmente elimina la necesidad de una vulnerabilidad «, según el mensaje. «Por lo tanto, el uso de esta vulnerabilidad que se indica al lado significa virtualmente que puede llevar cualquier BYOVD a una elevación de privilegios».

Dell ha lanzado parches, disponibles en Aviso de seguridad de Dell DSA-2021-088. Sin embargo, SentinelLabs ha detectado un problema potencial.

«Tenga en cuenta que el certificado aún no ha sido revocado (en el momento de redactar este documento)», dijeron los investigadores. «Esto no se considera una práctica recomendada, ya que el controlador vulnerable aún se puede utilizar en un ataque BYOVD como se mencionó anteriormente».

El impacto que esto podría tener en los usuarios y las empresas que no parchean es «de gran alcance y significativo», según el análisis, aunque hasta ahora no se han detectado exploits en la naturaleza.

«Con cientos de millones de empresas y usuarios actualmente vulnerables, los atacantes seguramente buscarán a aquellos que no tomen las medidas adecuadas», dijeron los investigadores.

.

Deberías compartir en tu Facebook para que tus amigos lo consulten

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *