Atenção - 30 Milhões de Dispositivos Dell em Risco por Ataque Remoto BIOS, RCE

Quatro bugs de segurança separados dariam aos atacantes controle quase completo e persistência sobre dispositivos Dell, graças a um mecanismo de atualização defeituoso.

Uma série de quatro vulnerabilidades de alta gravidade pode permitir que adversários remotos obtenham execução arbitrária de código no ambiente de pré-inicialização em dispositivos Dell, disseram os pesquisadores. Eles afetam cerca de 30 milhões de pontos finais individuais da Dell em todo o mundo.

De acordo com uma análise da Eclypsium, os bugs afetam 129 modelos de laptops, tablets e desktops, incluindo dispositivos corporativos e de consumo, que são protegidos pelo Secure Boot. Secure Boot é um padrão de segurança destinado a garantir que um dispositivo inicializa usando apenas um software confiável pelo fabricante de equipamentos originais do dispositivo (OEM), para evitar aquisições desonestos.

Os bugs permitem que adversários de rede privilegiados contornem as proteções do Secure Boot, controlem o processo de inicialização do dispositivo e subvertam o sistema operacional e controles de segurança de camadas mais altas, disseram pesquisadores da Eclypsium na quinta-feira. Eles carregam uma pontuação acumulada do CVSS de 8,3 em 10.

Especificamente, os problemas afetam o recurso BIOSConnect dentro do Dell SupportAssist (uma solução de suporte técnico que vem pré-instalado na maioria das máquinas Dell baseadas no Windows). O BIOSConnect é usado para executar recuperações remotas do sistema operacional ou para atualizar o firmware no dispositivo.

“Os fornecedores de tecnologia de todos os tipos estão cada vez mais implementando processos de atualização no ar para facilitar o máximo possível para seus clientes manterem seu firmware atualizado e se recuperarem das falhas do sistema”, observaram os pesquisadores em uma análise. “E embora essa seja uma opção valiosa, qualquer vulnerabilidade nesses processos, como as que vimos aqui no BIOSConnect da Dell, pode ter sérias consequências.”

O relatório observou que as vulnerabilidades específicas permitem que um invasor explore remotamente o firmware UEFI de um host e obtenha controle sobre o código mais privilegiado do dispositivo.

“Essa combinação de exploração remota e privilégios elevados provavelmente tornará a funcionalidade de atualização remota um alvo sedutor para os atacantes no futuro”, concluiu o relatório.

Conexão TLS insegura: personificando Dell

A primeira vulnerabilidade (CVE-2021-21571) é o início de uma cadeia que pode levar à execução remota de código (RCE).

Quando o BIOSConnect tenta se conectar ao servidor Backend Dell HTTP para realizar uma atualização ou recuperação remota, ele permite que o BIOS do sistema (o firmware usado para executar a inicialização de hardware durante o processo de inicialização) entre em contato com os serviços backend da Dell pela internet. Em seguida, coordena um processo de atualização ou recuperação.

O problema é que a conexão TLS usada para conectar o BIOS aos servidores back-end aceitará qualquer certificado curinga válido, disseram os pesquisadores do Eclypsium. Assim, um invasor com uma posição de rede privilegiada pode interceptar essa conexão, se passar por Dell e entregar conteúdo controlado pelo invasor de volta ao dispositivo da vítima.

“O processo de verificação do certificado para dell.com é feito primeiro recuperando o registro de DNS do servidor codificado 8.8.8.8, depois estabelecendo uma conexão com [o site de download da Dell]”, de acordo com a análise. “No entanto, qualquer certificado curinga válido emitido por qualquer uma das Autoridades de Certificado incorporadas contidas no recurso BIOSConnect no BIOS irá satisfazer a condição de conexão segura, e o BIOSConnect prosseguirá para recuperar os arquivos relevantes. O pacote de certificados de raiz de CA na imagem BIOS foi originado do arquivo de certificado raiz da Mozilla (certdata.txt).”

Vulnerabilidades que permitem a execução de código

Uma vez que este primeiro bug “gatekeeper” é explorado para fornecer conteúdo malicioso de volta à máquina da vítima, os atacantes têm então a escolha de três vulnerabilidades de estouro distintas e independentes (CVE-2021-21572, CVE-2021-21573, CVE-2021-21574), qualquer uma das quais pode ser usada para obter RCE pré-inicial no dispositivo alvo, disseram os pesquisadores.

Duas das vulnerabilidades afetam o processo de recuperação do SISTEMA OPERACIONAL, enquanto a terceira afeta o processo de atualização do firmware, de acordo com a Eclypsium, que ainda não está liberando mais detalhes técnicos.

O cenário de ataque. Fonte: Eclypsium

Qualquer cenário de ataque exigiria que um agressor fosse capaz de redirecionar o tráfego da vítima, como através de um ataque de máquina no meio (MITM) – algo que não é muito de uma barreira, disseram os pesquisadores.

“Os ataques de máquina no meio são uma barra relativamente baixa para atacantes sofisticados, com técnicas como falsificação de ARP e envenenamento por cache DNS sendo bem conhecidas e facilmente automatizadas”, segundo o relatório. “Além disso, as VPNs corporativas e outros dispositivos de rede tornaram-se um dos principais alvos dos atacantes, e falhas nesses dispositivos podem permitir que os invasores redirecionem o tráfego. E, finalmente, os usuários finais que trabalham em casa estão cada vez mais dependentes do equipamento de rede SOHO. As vulnerabilidades são bastante comuns nesses tipos de dispositivos de rede de nível de consumo e têm sido exploradas em campanhas generalizadas.”

O esforço de base para realizar um ataque é provavelmente uma troca positiva para cibercriminosos, dado que um compromisso bem-sucedido do BIOS de um dispositivo permitiria que os atacantes estabelecessem persistência contínua enquanto controlam os maiores privilégios no dispositivo. Isso ocorre porque eles controlariam o processo de carregamento do sistema operacional host e seriam capazes de desativar as proteções para permanecerem sem serem detectados, observou o relatório.

“O controle praticamente ilimitado sobre um dispositivo que esse ataque pode fornecer faz com que o fruto do trabalho valha a pena para o invasor”, disseram os pesquisadores do Eclypsium.

Dell emite atualizações

A Dell está começando a empurrar patches para BIOS em todos os sistemas afetados, com a maioria das atualizações programadas para quinta-feira e outras a seguir em julho, disse em sua assessoria.

“É aconselhável executar a atualização do BIOS do SISTEMA OPERACIONAL depois de verificar manualmente os hashes em relação aos publicados pela Dell”, recomendou Eclypsium, em vez de depender do BIOSConnect para aplicar atualizações de BIOS.