Sono state identificate cinque vulnerabilità (tutte tracciate con un unico codice CVE-2021-21551) all’interno di un driver vecchio di dodici anni che i computer Dell installano e caricano durante il processo di aggiornamento del BIOS, per poi disattivarlo al successivo riavvio del sistema.
In particolare, le falle di sicurezza sono state rilevate all’interno del file dbutil_2_3.sys presente in centinaia di milioni di prodotti Dell destinati sia al mercato consumer sia al mercato Enterprise, tra cui desktop, laptop e tablet che adesso risultano esposti a potenziali cyber attacchi.
Un eventuale exploit delle vulnerabilità potrebbe consentire ad un attaccante di elevare i propri privilegi da utente non amministratore a quelli della modalità kernel che, di fatto, consentono di prendere il pieno controllo della macchina compromessa in quanto consentono di avere accesso illimitato a tutto l’hardware disponibile sul sistema, compreso il riferimento a qualsiasi indirizzo di memoria.
Indice degli argomenti
I dettagli delle vulnerabilità nel driver di Dell
Tutte e cinque le vulnerabilità hanno ottenuto un punteggio CVSS (il sistema di valutazione delle vulnerabilità comuni) pari a 8.8. Ad aggravare la pericolosità dei bug contribuisce, ovviamente, l’enorme diffusione del driver vulnerabile.
Inoltre, le loro caratteristiche consentono ad un attaccante o ad un eventuale malware distribuito sfruttando i bug di sicurezza di guadagnare persistenza sul sistema infetto.
I ricercatori di SentinelOne che hanno individuato le vulnerabilità hanno anche identificato le diverse tecniche utilizzabili da un eventuale attaccante per ottenere un’elevazione dei privilegi sulla macchina compromessa:
- CVE-2021-21551: Elevazione locale dei privilegi #1 – Corruzione della memoria
- CVE-2021-21551: Elevazione locale dei privilegi #2 – Corruzione della memoria
- CVE-2021-21551: Elevazione locale dei privilegi #3 – Mancanza di convalida dell’input
- CVE-2021-21551: Elevazione locale dei privilegi #4 – Mancanza di convalida dell’input
- CVE-2021-21551: Denial Of Service – Problema logico del codice
A mitigare in parte la pericolosità delle cinque vulnerabilità è proprio il fatto che si tratta di bug che consentono l’escalation di privilegi locali, il che rende altamente improbabile che un attaccante possa sfruttarli da remoto.
Per portare a termine un attacco è infatti necessario avere ottenuto preventivamente l’accesso ad un account non amministratore su un sistema vulnerabile. Solo successivamente, i difetti di sicurezza presenti nel driver di Dell posso essere abusati per ottenere l’elevazione locale dei privilegi.
A questo punto, l’attaccante può sfruttare differenti tecniche per eseguire codice arbitrario sulla macchina compromessa e muoversi lateralmente nella rete locale di un’organizzazione.
Come se non bastasse, fa notare Kasif Dekel, Senior Security Researcher di SentinelOne, sfruttando la possibilità di aumentare i propri privilegi ed eseguire codice in modalità kernel, l’attaccante potrebbe abusare delle cinque vulnerabilità presenti nel driver di Dell per aggirare i controlli dei prodotti di sicurezza installati sulle macchine.
Come mitigare il rischio di un attacco
Per fortuna, nonostante il driver di Dell sia utilizzato da dodici anni, non è stato finora registrato alcuno sfruttamento “in-the-wild” delle vulnerabilità. In ogni caso, i ricercatori di SentinelOne pubblicheranno, il prossimo primo giugno, un Proof-of-Concept delle vulnerabilità, consentendo così agli utenti dei sistemi Dell di applicare nel frattempo eventuali patch.
Dell ha infatti preparato un avviso di sicurezza in cui vengono descritte le procedure da seguire per rimuovere manualmente il driver esposto alle cinque vulnerabilità, in attesa del rilascio, il prossimo 10 maggio, degli strumenti di rimozione automatici. In seguito, l’aggiornamento del BIOS sulle macchine avverrà con una versione corretta del driver.
Al momento, però, pare che Dell non abbia ancora revocato il certificato per il driver DButil vulnerabile, il che significa che un avversario potrebbe usarlo in un attacco. Per cui, è bene prestare la massima attenzione ad eventuali attività sospette sulle macchine o all’interno della propria rete locale.
