Centenas de milhões de usuários Dell em risco devido a bugs relacionados a privilégios do Kernel

O bug de escalonamento de privilégios permaneceu oculto por 12 anos e está presente em todos os PCs, tablets e notebooks Dell comercializados desde 2009.

notebooks dell bugs kernel windows

Cinco falhas de segurança de alta criticidade no driver de atualização de firmware da Dell estão afetando potencialmente centenas de milhões de desktops, laptops, notebooks e tablets da marca, disseram os pesquisadores.

Os bugs não foram divulgados por 12 anos e podem permitir a capacidade de contornar a segurança, executar códigos e permitir escalação de privilégios e acesso a outras partes da rede para movimentação lateral, de acordo com o SentinelLabs.

Os vários bugs de escalação de privilégio local (LPE) existem no módulo de driver de atualização de firmware versão 2.3 (dbutil_2_3.sys), que está em uso desde 2009. O componente de driver lida com atualizações de firmware Dell através do utilitário BIOS da Dell, e vem pré-instalado na maioria das máquinas Dell com Windows.

“Centenas de milhões de dispositivos Dell têm atualizações feitas regularmente, tanto para sistemas corporativos quanto para consumidores”, de acordo com os pesquisadores do SentinelLabs, em uma postagem do blog na terça-feira.

Os cinco bugs estão identificados na CVE-2021-21551 e carregam uma classificação de vulnerabilidade com gravidade (CVSS) de 8,8 em 10.

Escalada de privilégios no modo kernel

Os pesquisadores relataram que as falhas permitem que os adversários escalem seu status de usuário não administrador para ter privilégios de modo Kernel.

Os cinco bugs são especificamente:

LPE No. 1, devido à falha de memória

LPE No. 2, também devido à falha de memória

LPE No. 3, devido à falta de validação de parâmetros de entrada

LPE No. 4, também devido à falta de validação de parâmetros de entrada

Falha de negação de serviço, devido a um problema de lógica de código

Os pesquisadores do SentinelLabs disseram que estão retendo um “Exploit” de prova de conceito (PoC) até 1º de junho, que será para a edição nº 1 do LPE. No entanto, eles resolveram alguns problemas gerais com o driver.

“O primeiro e mais imediato problema com o driver de atualização de firmware surge do fato de que ele aceita solicitações de controle de entrada / saída (IOCTL) sem quaisquer requisitos de uma ACL [lista de controle de acesso]”, de acordo com a postagem. “Isso significa que ele pode ser invocado por um usuário sem privilégios. Permitir que qualquer processo se comunique com o seu “driver” costuma ser uma prática ruim, já que os “drivers” operam com os mais altos privilégios.”

ACLs são uma coleção de regras de permissão e negação de acesso, que fornecem segurança bloqueando usuários não autorizados e permitindo que usuários autorizados acessem recursos específicos.

Um exemplo dos problemas gerados com esses bugs pode ser ilustrado com IOCTL 0x9B0C1EC8. O uso dessa solicitação permite controlar completamente os argumentos passados ​​para a função “memmove”, que permite a cópia de blocos de memória. Isso, por sua vez, leva a uma vulnerabilidade arbitrária de leitura/gravação, observaram os pesquisadores.

“Uma técnica clássica de exploração para esta vulnerabilidade seria substituir os valores de ‘present’ e ‘enabled’ no membro com privilégio de token dentro do EPROCESS do processo cujos privilégios queremos escalar,” eles explicaram. EPROCESS atua como o objeto de processo para uma determinada rotina.

O SentinelLabs também destacou o problema no driver que está no coração dos LPEs nº 3 e 4: é possível executar instruções de entrada / saída (I / O) no modo kernel com operandos arbitrários, ou seja, instruções que especificam quais dados devem ser manipulados ou operados.

“Isso é menos trivial de explorar e pode exigir o uso de várias técnicas criativas para alcançar a elevação de privilégios”, explicaram. No entanto, uma exploração bem-sucedida pode permitir que os invasores interajam com dispositivos periféricos, como a unidade de disco rígido (HDD) ou GPU para ler/gravar diretamente no disco ou invocar acesso direto à memória (DMA), que é usado para ler e gravar operações de memória física.

“Por exemplo, poderíamos nos comunicar com a ATA Port IO para gravar diretamente no disco e, em seguida, sobrescrever um binário que é carregado por um processo privilegiado”, de acordo com a análise.

Os pesquisadores também discutiram um terceiro problema não relacionado aos bugs do manipulador IOCTL: o arquivo do driver em si está localizado em C: \ Windows \ Temp, o que abre a porta para outros problemas.

“A maneira clássica de explorar isso seria transformar qualquer dispositivo do tipo bring-your-own vulnerable driver (BYOVD) em uma vulnerabilidade capaz de elevação de privilégios, uma vez que carregar um driver (vulnerável) significa que você precisa de privilégios de administrador, o que essencialmente elimina a necessidade de uma vulnerabilidade ”, de acordo com a postagem. “Portanto, usar essa vulnerabilidade observada virtualmente significa que você pode explorar qualquer BYOVD e levar a uma escalada de privilégios.”

Como remediar os Bugs de Driver da Dell

A Dell lançou patches, disponíveis em Dell Security Advisory DSA-2021-088. No entanto, o SentinelLabs observou um possível problema.

“Observe que o certificado ainda não foi revogado (no momento da redação)”, disseram os pesquisadores. “Isso não é considerado uma prática recomendada, pois o driver vulnerável ainda pode ser usado em um ataque BYOVD, conforme mencionado anteriormente.”

O impacto que isso pode ter sobre os usuários e empresas que não conseguem corrigir é “de longo alcance e significativo”, de acordo com a análise, embora até agora nenhum exploits in-the-wild tenham aparecido.

No entanto, é muito provável que isso mude em breve: “Com centenas de milhões de empresas e usuários atualmente vulneráveis, é inevitável que os invasores busquem aqueles que não tomem as medidas adequadas”, disseram os pesquisadores.

Clavis Segurança da Informação – Solução BART

A Clavis apoia sua empresa no Gerenciamento de Vulnerabilidade das suas redes, sistemas e aplicações. Por meio do Sistema BART, é possível executar um processo prático e eficaz na gerencia de vulnerabilidades, atuando na identificação de vulnerabilidades, na caracterização dos riscos reais ao negócio, no planejamento de correções e no acompanhamento da execução.

O Sistema BART é tão poderoso que permite dar um tratamento unificado a todo tipo de vulnerabilidade corporativa, incluindo aquelas relacionadas a não-conformidades em processos e políticas. Clique aqui e confira todos os detalhes desta ferramenta.

Posts relacionados: Microsoft lança serviço gratuito de detecção de malware forense e rootkit do Linux / 80% das Empresas Globais relatam ataques cibernéticos de firmware e Nova versão do Kali Linux 2021.1 é lançada em fevereiro

Informações obtidas/adaptadas de Hundreds of Millions of Dell Users at Risk from Kernel-Privilege Bugs