锁定企业设备安全性的安全企业Eclypsium本周披露,Dell设备内置管理软件SupportAssist的BIOSConnect组件含有4个安全漏洞,虽然这4个漏洞个别的CVSS风险评分并不高,但串联之后CVSS风险评分即高达8.3,将允许黑客假冒为Dell.com并自远程执行任意程序,波及多达129款的Dell设备,涵盖台式机、笔记本与平板电脑,全球至少有3,000万台Dell设备含有相关漏洞。
SupportAssist为预装在Dell&Windows设备上的管理程序,而BIOSConnect则是Dell的预启动解决方案,可用来更新BIOS,以及支持SupportAssist的操作系统回复功能。此外,BIOSConnect可让系统上的BIOS,通过网络访问Dell的后端服务,以协调更新或回复程序。
不过,Dell强调,BIOSConnect需要实际的用户来激活,也只有部分具备BIOSConnect功能的平台会受到影响。
Eclypsium所发现的4个安全漏洞,分别是CVE-2021-21571、CVE-2021-21572、CVE-2021-21573与CVE-2021-21574,其中,CVE-2021-21571漏洞是因BIOSConnect及Dell HTTPS Boot所使用的UEFI BIOS https堆栈,含有不适当的凭证验证漏洞,可能造成中间人攻击而导致服务阻断或酬载篡改,其CVSS风险评分为5.9。
其它三个漏洞则皆起因于BIOSConnect所存在的缓冲区溢出漏洞,允许具备管理权限及本地端访问能力的用户,绕过UEFI限制而执行任意程序,它们的CVSS风险评分为7.2。
然而,Eclypsium指出,当串联这4个漏洞之后,将允许黑客于预先启动的环境中,自远程执行任意程序,这些恶意程序可能变更操作系统的初始状态,违反硬件及固件层的通用假设,并破坏操作系统的安全控制,像是假冒为Dell.com并以BIOS/UEFI等级来执行任意程序,使其CVSS风险评分升高至8.3。在Eclypsium发布漏洞信息之际,Dell已修补了上述4个漏洞。
相关资料Dell SupportAssist安全漏洞官方公告(2021-06-24)