El actualizador de firmware preinstalado coloca 128 modelos Dell …



Una característica de la utilidad de actualización del fabricante de la computadora no maneja correctamente los certificados, dejando los sistemas abiertos a compromisos a nivel de firmware.

Una utilidad de actualización de firmware que viene preinstalada en al menos 128 modelos de computadoras portátiles, computadoras de escritorio, servidores y tabletas Dell tiene múltiples vulnerabilidades que podrían permitir que un atacante privilegiado instale código falso a través de la pink, anunció el jueves el fabricante de computadoras y la firma de seguridad Eclypsium. .

Las cuatro vulnerabilidades afectan a aproximadamente 30 millones de dispositivos que utilizan la funcionalidad BIOSConnect de la utilidad de soporte de Dell SupportAssist, que permite a los usuarios de computadoras recuperar de forma remota el sistema operativo o actualizar el firmware para una variedad de dispositivos Dell. Una vulnerabilidad permite a un atacante con una «posición de pink privilegiada hacerse pasar por Dell» y enviar código malicioso al sistema objetivo, mientras que otros tres problemas son desbordamientos de búfer que permiten que la ejecución de código eluda la seguridad de SecureBoot, afirmó Eclypsium.

Si los atacantes pueden interceptar el tráfico BIOSConnect inicial, por lo tanto, la «posición de purple privilegiada», pueden usar un certificado comodín comprado a cualquiera de las autoridades de certificación confiables de Dell BIOSConnect para enviar código al sistema, dice Jesse Michael, investigador principal con Eclypsium.

«Permite a un atacante tener un punto de apoyo inicial dentro del BIOS del cliente», dice. «No es algo en lo que necesite ser dueño del sistema a través de otros medios y luego realizar escaladas de privilegios o movimientos laterales dentro del sistema. Esta es una ejecución inicial de código en el sistema mediante la explotación de estas otras vulnerabilidades».

Los ataques al firmware han aumentado, a menudo como una forma de que los atacantes obtengan una cabeza de playa persistente en un sistema que sobrevive a los reinicios e intenta eliminar cualquier archivo malicioso. Alrededor del 83% de las empresas han experimentado un ataque dirigido al firmware en los últimos dos años, según un informe publicado por Microsoft en marzo. El malware sofisticado con frecuencia tiene módulos de firmware que intentan infectar el sistema básico de entrada / salida (BIOS), que, como primer program en ejecutarse, ocupa un lugar privilegiado en el orden de la secuencia de inicio del sistema.

Cuando Dell lanzó una función para facilitar la actualización del BIOS, Eclypsium lo vio como un campo de investigación fértil. Los investigadores de la empresa descubrió las vulnerabilidades a principios de marzo y trabajó con Dell para solucionar los problemas.

El jueves, Dell lanzó un aviso para las cuatro vulnerabilidades, diciendo que la empresa ya había cerrado dos ediciones mediante actualizaciones a sus servidores. Los otros dos problemas, incluido el problema de validación de la certificación (CVE-2021-21571), solo se pueden solucionar actualizando el BIOS.

«Dell recomienda que todos los clientes actualicen a la última versión del BIOS del cliente de Dell lo antes posible», declaró la empresa en el aviso. «Los clientes que elijan no aplicar las actualizaciones de BIOS inmediatamente o que no puedan hacerlo ahora, deberían … desactivar la función BIOSConnect».

La vulnerabilidad de validación de certificados, específicamente, «Conexión insegura de seguridad de la capa de transporte (TLS) desde el BIOS a Dell», es el problema más importante, aunque su puntaje del Popular Vulnerability Scoring Procedure (CVSS) es un intermedio de 5.9. Si el arranque seguro está desactivado, la vulnerabilidad permite la ejecución de código arbitrario en el entorno previo al arranque antes de que se cargue cualquier software de seguridad y podría prevenir el ataque. De lo contrario, la vulnerabilidad le da al atacante la capacidad de activar una de las otras tres fallas de desbordamiento de búfer descubiertas por Eclypsium sin necesidad de acceso local.

Para aprovechar el problema de la validación del certificado, el atacante debe poder redirigir el tráfico hacia y desde la máquina de destino, ya sea comprometiendo un enrutador, utilizando una técnica como el envenenamiento de ARP o algún otro ataque de máquina en el medio. Si la máquina admite el arranque HTTPS, una función que permite despertar o arrancar una máquina mediante la interfaz world-wide-web, se podría abusar de la función para desencadenar la vulnerabilidad.

La debilidad es causada por la aceptación de BIOSConnect de datos de cualquier certificado confiable. De esa manera, un atacante podría simplemente reservar un certificado utilizando un proveedor confiable y luego poder atacar los dispositivos, dice Michael.

«Hay muchas autoridades de certificación en UEFI BIOS que se pueden usar donde, si obtiene un certificado comodín de cualquiera de estas autoridades y lo usa en su propio servidor, ni siquiera tiene que ser Dell o pretender sea ​​Dell «, dice. «Si se trata de un certificado válido que es de confianza, no hay una fijación de certificado adecuada, por lo que si puede envenenar o redirigir de otra manera, … tiene la capacidad de proporcionar contenido al cliente».

Los problemas muestran que el firmware básico para los dispositivos conectados aún no recibe suficiente escrutinio, dice Scott Scheferman, principal estratega cibernético de Eclypsium.

«Estos son errores de hace 20 años que están encontrando su camino hacia el aspecto más crítico de la confianza a nivel de BIOS», dice. «Aquí estamos en 2021 y estamos encontrando problemas con implementaciones deficientes de TLS».

Es probable que las vulnerabilidades tengan una larga cola, porque la actualización del BIOS siempre ha sido una tarea difícil, una de las principales razones por las que existen utilidades como BIOSConnect. Se recomienda a las empresas que desactiven la función BIOSConnect hasta que puedan actualizar el sistema. Sin embargo, debido a las vulnerabilidades, la actualización del firmware deberá realizarse a la antigua usanza, ya sea usando una utilidad diferente o descargando el archivo de firmware y usando el menú de inicio único del BIOS.

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dim Studying, MIT&#39s Technology Overview, Popular Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original