安全動態(tài)

一個驅(qū)動程序漏洞在戴爾設(shè)備中潛伏12年之久,最近終于被修復(fù)

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2021-05-07    瀏覽次數(shù):
 

信息來源:Freebuf


在過去的12年中,戴爾的臺式機、筆記本、平板電腦等設(shè)備的驅(qū)動程序中一直存在嚴重漏洞,會導致系統(tǒng)權(quán)限增加。

5月4日,戴爾發(fā)布安全公告,稱修補了一個存在長達12年的驅(qū)動程序漏洞。該漏洞預(yù)估影響上億臺戴爾設(shè)備。從臺式機到最新的Alienware和筆記本電腦,大約380種型號的設(shè)備受到了影響。

該漏洞由安全企業(yè)Sentinel Labs披露,該漏洞實際上是五個連續(xù)漏洞,皆位于戴爾驅(qū)動程序DBUtil(dbutil_2_3.sys)之中。戴爾將這五個漏洞統(tǒng)一追蹤為編號CVE-2021-21551,歸屬于訪問管控不足漏洞。

這五個漏洞可使攻擊者獲得本機權(quán)限以執(zhí)行惡意程序代碼。具體來看,五個漏洞中四個是提權(quán)漏洞,一個是可引發(fā)拒絕服務(wù)(Denial of Service,DoS)攻擊漏洞。

目前尚無該漏洞被利用的消息。但研究人員Kasif Dekel表示,該漏洞“很容易被利用”,攻擊者可能利用釣魚攻擊或結(jié)合其他手法擴大傷害,在網(wǎng)絡(luò)上橫向移動。由于需要本機權(quán)限,該漏洞風險層級被列為8.8。該研究人員在一篇博客文章中提供了技術(shù)信息,但未披露PoC,方便用戶有時間安裝補丁。他計劃在6月1日分享PoC的漏洞代碼。

根據(jù)戴爾的常見問題解答,攻擊者需要對計算機進行本地訪問才能攻擊或通過網(wǎng)絡(luò)釣魚等其他方式欺騙用戶。此外,只有在用戶更新固件后,它才會影響PC,因為相關(guān)的驅(qū)動程序未預(yù)裝在PC上。

CVE-2021-21551的沖擊在于它從2009年就已存在DBUtil中,它可能傳播問題驅(qū)動程序,并將之安裝在戴爾用戶設(shè)備上。受漏洞影響的軟件包括BIOS更新、Thunderbolt固件、TPM固件更新、dock固件更新等。

戴爾呼吁用戶盡快安裝更新版固件,但也說明該漏洞只影響Windows設(shè)備,Linux平臺不受影響。


 
 

上一篇:51%的組織遭遇過經(jīng)由第三方造成的數(shù)據(jù)泄露事件

下一篇:2021年5月7日聚銘安全速遞