3000萬臺(tái)戴爾設(shè)備面臨遠(yuǎn)程BIOS攻擊風(fēng)險(xiǎn)
近日,Eclypsium的安全研究人員發(fā)現(xiàn),由于錯(cuò)誤的更新機(jī)制,導(dǎo)致數(shù)千萬臺(tái)戴爾設(shè)備產(chǎn)生了四個(gè)嚴(yán)重安全漏洞,攻擊者幾乎能完全控制和持久化攻擊存在漏洞的目標(biāo)設(shè)備。
研究人員表示,這一系列漏洞可以讓遠(yuǎn)程攻擊者在戴爾設(shè)備的預(yù)啟動(dòng)環(huán)境中執(zhí)行任意代碼,全球大約3000萬個(gè)戴爾端點(diǎn)設(shè)備受到影響。
根據(jù)Eclypsium的分析,這些漏洞影響了129款受安全啟動(dòng)保護(hù)的筆記本電腦、平板電腦和臺(tái)式機(jī),其中包括企業(yè)和消費(fèi)設(shè)備。安全啟動(dòng)是一種安全標(biāo)準(zhǔn),旨在確保設(shè)備僅使用其原始設(shè)備制造商(OEM)所信任的軟件進(jìn)行啟動(dòng),以防止惡意接管。
Eclypsium的研究人員表示:“這些漏洞允許特權(quán)網(wǎng)絡(luò)攻擊者繞過安全啟動(dòng)保護(hù),控制設(shè)備的啟動(dòng)過程,并破壞操作系統(tǒng)和更高層的安全控制。這些漏洞的CVSS得分為8.3(滿分10分)。”
具體而言,上述漏洞會(huì)影響Dell SupportAssist(大多數(shù)基于Windows的戴爾機(jī)器上預(yù)裝的技術(shù)支持解決方案)中的BIOSConnect功能。BIOSConnect用于執(zhí)行遠(yuǎn)程操作系統(tǒng)恢復(fù)或更新設(shè)備上的固件。
研究人員在分析中指出:“所有類型的技術(shù)供應(yīng)商都越來越多地實(shí)施無線更新流程,以使他們的客戶能夠盡可能輕松地保持固件最新并從系統(tǒng)故障中恢復(fù)。雖然這是一個(gè)有價(jià)值的服務(wù),但這些過程中的任何漏洞,例如我們?cè)诖鳡朆IOSConnect中看到的漏洞,都會(huì)產(chǎn)生嚴(yán)重的后果。”
該報(bào)告指出,特定漏洞允許攻擊者遠(yuǎn)程利用主機(jī)的UEFI固件并控制設(shè)備上的最高特權(quán)代碼。
報(bào)告總結(jié)道:“這種遠(yuǎn)程可利用性和高權(quán)限的結(jié)合可能會(huì)使遠(yuǎn)程更新功能成為未來攻擊者的誘人目標(biāo)。”
1. 不安全的TLS連接:冒充戴爾
第一個(gè)漏洞(CVE-2021-21571)是可導(dǎo)致遠(yuǎn)程代碼執(zhí)行(RCE)鏈的開始。
當(dāng)BIOSConnect嘗試連接到后端Dell HTTP服務(wù)器以執(zhí)行遠(yuǎn)程更新或恢復(fù)時(shí),它會(huì)啟用系統(tǒng)的BIOS(用于在引導(dǎo)過程中執(zhí)行硬件初始化的固件)通過Internet與Dell后端服務(wù)聯(lián)系。然后,再協(xié)調(diào)更新或恢復(fù)過程。
Eclypsium研究人員表示,問題在于用于將BIOS連接到后端服務(wù)器的TLS連接將會(huì)接受任何有效的通配符證書。因此,具有特權(quán)網(wǎng)絡(luò)權(quán)限的攻擊者可以攔截該連接,冒充戴爾并將攻擊者控制的內(nèi)容發(fā)送回受害設(shè)備。
分析稱:“驗(yàn)證dell.com證書的過程首先要從硬編碼服務(wù)器8.8.8.8檢索DNS記錄,然后建立到‘戴爾下載站點(diǎn)’的連接,但是,戴爾設(shè)備BIOS中的BIOSConnect功能中內(nèi)置的任何證書頒發(fā)機(jī)構(gòu)頒發(fā)的任何有效證書都將滿足安全連接條件。”
2. 允許任意代碼執(zhí)行的溢出漏洞
一旦利用第一個(gè)“看門人”漏洞將惡意內(nèi)容傳送回受害機(jī)器,攻擊者就可以選擇利用其他三個(gè)不同且溢出的漏洞(CVE-2021-21572、CVE-2021-21573、CVE-2021-21574)。研究人員說,這三個(gè)漏洞中的任何一個(gè)都可用于在目標(biāo)設(shè)備上實(shí)施預(yù)啟動(dòng)的RCE。
據(jù)Eclypsium稱,其中兩個(gè)漏洞會(huì)影響操作系統(tǒng)的恢復(fù)過程,而第三個(gè)漏洞則影響固件更新過程,該公司尚未發(fā)布進(jìn)一步的技術(shù)細(xì)節(jié)。
研究人員表示,任何攻擊場(chǎng)景都需要攻擊者能夠重定向受害者的流量,例如通過中間機(jī)器(MITM)攻擊——這不是什么障礙。
報(bào)告稱:“中間機(jī)器攻擊對(duì)復(fù)雜的攻擊者來說是一個(gè)相對(duì)較低的門檻,ARP欺騙和DNS緩存中毒等技術(shù)已經(jīng)廣為人知且易于自動(dòng)化。此外,企業(yè)虛擬專用網(wǎng)和其他網(wǎng)絡(luò)設(shè)備已成為攻擊者的首要目標(biāo),這些設(shè)備中的缺陷可以讓攻擊者重定向流量。最后,在家工作的終端用戶越來越依賴SOHO網(wǎng)絡(luò)設(shè)備。漏洞在這些類型的消費(fèi)級(jí)網(wǎng)絡(luò)設(shè)備中非常普遍,并已在惡意活動(dòng)中被廣泛利用。”
鑒于成功入侵設(shè)備的BIOS將允許攻擊者長期駐留,同時(shí)控制設(shè)備的最高權(quán)限,因此進(jìn)行攻擊前的此類基礎(chǔ)工作對(duì)于網(wǎng)絡(luò)犯罪分子來說是值得的。報(bào)告指出,這是因?yàn)樗麄儗⒖刂萍虞d主機(jī)操作系統(tǒng)的過程,并且能夠禁用保護(hù)以保持不被發(fā)現(xiàn)。
Eclypsium研究人員說:“這種攻擊可以提供對(duì)設(shè)備幾乎無限的控制權(quán),對(duì)攻擊者來說回報(bào)豐厚。”
3. 戴爾發(fā)布補(bǔ)丁
戴爾在其安全公告中宣布已經(jīng)開始在所有受影響的系統(tǒng)上推出BIOS補(bǔ)丁,大多數(shù)更新定于周四(6月24日)進(jìn)行,其他更新將在7月跟進(jìn)。
根據(jù)Eclypsium的建議,用戶需要根據(jù)戴爾發(fā)布的哈希值手動(dòng)檢查哈希值后,從操作系統(tǒng)運(yùn)行BIOS更新可執(zhí)行文件,而不是通過BIOSConnect來進(jìn)行BIOS更新。
參考資料:https://www.dell.com/support/kbdoc/000188682
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
