在過(guò)去的12年中，戴爾的臺(tái)式機(jī)、筆記本、平板電腦等設(shè)備的驅(qū)動(dòng)程序中一直存在嚴(yán)重漏洞，會(huì)導(dǎo)致系統(tǒng)權(quán)限增加。

5月4日，戴爾發(fā)布安全公告，稱修補(bǔ)了一個(gè)存在長(zhǎng)達(dá)12年的驅(qū)動(dòng)程序漏洞。該漏洞預(yù)估影響上億臺(tái)戴爾設(shè)備。從臺(tái)式機(jī)到最新的Alienware和筆記本電腦，大約380種型號(hào)的設(shè)備受到了影響。

[[397614]]

該漏洞由安全企業(yè)Sentinel Labs披露，該漏洞實(shí)際上是五個(gè)連續(xù)漏洞，皆位于戴爾驅(qū)動(dòng)程序DBUtil(dbutil_2_3.sys)之中。戴爾將這五個(gè)漏洞統(tǒng)一追蹤為編號(hào)CVE-2021-21551，歸屬于訪問(wèn)管控不足漏洞。

這五個(gè)漏洞可使攻擊者獲得本機(jī)權(quán)限以執(zhí)行惡意程序代碼。具體來(lái)看，五個(gè)漏洞中四個(gè)是提權(quán)漏洞，一個(gè)是可引發(fā)拒絕服務(wù)(Denial of Service，DoS)攻擊漏洞。

目前尚無(wú)該漏洞被利用的消息。但研究人員Kasif Dekel表示，該漏洞“很容易被利用”，攻擊者可能利用釣魚(yú)攻擊或結(jié)合其他手法擴(kuò)大傷害，在網(wǎng)絡(luò)上橫向移動(dòng)。由于需要本機(jī)權(quán)限，該漏洞風(fēng)險(xiǎn)層級(jí)被列為8.8。該研究人員在一篇博客文章中提供了技術(shù)信息，但未披露PoC，方便用戶有時(shí)間安裝補(bǔ)丁。他計(jì)劃在6月1日分享PoC的漏洞代碼。

根據(jù)戴爾的常見(jiàn)問(wèn)題解答，攻擊者需要對(duì)計(jì)算機(jī)進(jìn)行本地訪問(wèn)才能攻擊或通過(guò)網(wǎng)絡(luò)釣魚(yú)等其他方式欺騙用戶。此外，只有在用戶更新固件后，它才會(huì)影響PC，因?yàn)橄嚓P(guān)的驅(qū)動(dòng)程序未預(yù)裝在PC上。

CVE-2021-21551的沖擊在于它從2009年就已存在DBUtil中，它可能傳播問(wèn)題驅(qū)動(dòng)程序，并將之安裝在戴爾用戶設(shè)備上。受漏洞影響的軟件包括BIOS更新、Thunderbolt固件、TPM固件更新、dock固件更新等。

戴爾呼吁用戶盡快安裝更新版固件，但也說(shuō)明該漏洞只影響Windows設(shè)備，Linux平臺(tái)不受影響。