Alerta: Tem um dispositivo da Dell? Então este artigo é para si

Segundo está a ser revelado pelos pesquisadores do Eclypsium, o método de actualização da Dell conta com algumas falhas que permitem que atacantes de rede privilegiadas contornem as protecções de segurança do dispositivo. São quatro vulnerabilidades que está a afectar 128 modelos de tablet, laptops, e PCs, que que no total são estimados ser cerca de 30 milhões de dispositivos, em todo o mundo.

Entretanto a Dell já reconheceu o problema e começou a lançar patches para alguns dos seus dispositivos, e mais actualizações serão lançadas no próximo mês, para minimizar este problema.

A falha está num recurso de utilitário chamado BIOSConnect, que é usado para fazer recuperações remotas do sistema operativo, ou actualizações de firmware. O Dell SupportAssist, uma ferramenta de suporte que vem pré-carregada nesses dispositivos, vem pré-instalada em todos os PCs, laptops e tablets da empresa com o sistema operativo Windows. Esta função usa o recurso BIOSConnect, tornando os dispositivos vulneráveis.

A primeira fase começa com a tentativa de actualização do BIOSConnect, ou com a recuperação remota a ligar-se ao servidor Dell HTTP. Na segunda fase, a ferramenta utilitária permite que a BIOS do sistema aceda aos serviços de back-end da Internet da Dell, permitindo o início do processo de actualização, ou recuperação.

Dell com falha de segurança nos seus dispositivos

O método é descrito na análise: “O processo de verificação do certificado para dell.com é feito primeiro recuperando o registro DNS do servidor codificado 8.8.8.8 e, em seguida, estabelecendo uma ligação com [o site de download da Dell]”.

“No entanto, qualquer certificado válido emitido por qualquer uma das Autoridades de Certificação integradas contidas no recurso BIOSConnect na BIOS satisfará a condição de ligação segura, e BIOSConnect continuará a recuperar os ficheiros relevantes. O pacote de certificados raiz da CA na imagem da BIOS foi originado do ficheiro de certificado raiz da Mozilla (certdata.txt) “.

Após a conclusão do primeiro estágio do ataque, os hackers podem escolher uma das três vulnerabilidades de estouro diferentes e independentes: CVE-2021-21572, CVE-2021-21574, CVE-2021-21573 para obter a execução remota de código de pré-inicialização no alvo dispositivo.

Os cibercriminosos podem explorar essas vulnerabilidades e lançar ataques bem-sucedidos aos dispositivos Dell se eles comprometerem a BIOS, estabelecer persistência contínua enquanto mantêm os maiores privilégios do dispositivo e desactivam as protecções para não serem detectados.

FONTE