El fabricante de PC Dell ha publicado una actualización para corregir varias vulnerabilidades de escalada de privilegios críticos que no se han detectado desde 2009, lo que potencialmente permite a los atacantes obtener privilegios en modo kernel y provocar una condición de denegación de servicio.
Los problemas, reportados a Dell por investigadores de SentinelOne el 1 de diciembre de 2020, residen en un controlador de actualización de firmware llamado "dbutil_2_3.sys" que viene preinstalado en sus dispositivos. Se dice que cientos de millones de computadoras de escritorio, computadoras portátiles, portátiles y tabletas fabricadas por la compañía son vulnerables.
"Dell dbutil_2_3.sys conductor contiene una vulnerabilidad de control de acceso insuficiente que puede conducir a una escalada de privilegios, denegación de servicio o divulgación de información. Se requiere acceso de usuario autenticado local", dijo Dell en un comunicado.
A los cinco defectos separados se les ha asignado el identificador CVE CVE-2021-21551 con una puntuación CVSS de 8,8. Un desglose de las deficiencias es el siguiente -
- CVE-2021-21551: Elevación local de privilegios #1 – Corrupción de memoria
- CVE-2021-21551: Elevación local de privilegios #2 – Corrupción de memoria
- CVE-2021-21551: Elevación local de privilegios #3 – Falta de validación de entrada
- CVE-2021-21551: Elevación local de privilegios #4 – Falta de validación de entrada
- CVE-2021-21551: Denegación de servicio – Problema de lógica de código
"Los fallos de alta gravedad podrían permitir a cualquier usuario en la computadora, incluso sin privilegios, aumentar sus privilegios y ejecutar código en modo kernel", señaló el investigador principal de seguridad de SentinelOne, Kasif Dekel, en un análisis del martes. "Entre los abusos obvios de tales vulnerabilidades están que podrían ser utilizados para eludir los productos de seguridad."
Dado que se trata de errores de escalada de privilegios locales, es poco probable que sean explotados remotamente a través de Internet. Para llevar a cabo un ataque, un adversario tendrá que tener acceso a una cuenta no administradora en un sistema vulnerable, tras lo cual se puede abusar de la vulnerabilidad del conductor para obtener la elevación local de privilegios. Armado con este acceso, el atacante puede aprovechar otras técnicas para ejecutar código arbitrario y moverse lateralmente a través de la red de una organización.
Aunque no se ha detectado evidencia de abuso en la naturaleza, SentinelOne dijo que planea publicar el código de prueba de concepto (PoC) el 1 de junio de 2021, dando a los clientes de Dell un amplio tiempo para corregir la vulnerabilidad.
La revelación de SentinelOne es la tercera vez que el mismo problema ha sido reportado a Dell en los últimos dos años, según el arquitecto jefe de Crowdtrike, Alex Ionescu, primero por la firma de ciberseguridad con sede en Sunnyvale en 2019 y de nuevo por IOActive. Dell también acreditó a Scott Noone de OSR Open Systems Resources haber informado de la vulnerabilidad.
BIOS PrivEsc Bugs Affect Hundreds of Millions of Dell PCs Worldwide (thehackernews.com)
