Dell 5月修补一个存在长达12年的驱动程序漏洞CVE-2021-21551,可能让黑客在Dell设备上执行恶意程序代码。不过安全厂商发现,修补后的驱动程序仍存在BYOVD(Bring Your Own Vulnerable Driver)风险。
CVE-2021-21551位于Dell驱动程序DBUtil(dbutil_2_3.sys)之中,实际涵盖5项瑕疵,后果涵盖权限扩张,1项可引发拒绝服务(Denial of Service,DoS)攻击,Dell统称为CVE-2021-21551访问管控不足漏洞。该漏洞估计影响上千万台Dell笔记本或PC机等产品。
安全厂商Rapid 7发现,虽然Dell 5月间重新发布了dbutildrv2.sys作为新的驱动程序,但并不完全解决上述漏洞,仍然让用户暴露于BYOVD(Bring Your Own Vulnerable Driver)的攻击风险中。
所谓BYOVD是指企业用户计算机安装了合法,但并不安全的驱动程序。微软虽然推动Windows DSE(Driver Signature Enforcement),任何驱动程序或第三方程式都要经过微软签章才能确保为正版、安全的程序。由于驱动程序可在Windows核心执行,因此利用BYOVD技俩传播的恶意程序更加危险。恶意程序取得微软签章而传播的情形仍然屡见不鲜,而用于BYOVD攻击的驱动程序还包括asrdrv101.sys、asrdrv102.sys、ucorew.sys、piddrv.sys、atillk64.sys等。
5月后Dell发布了dbutildrv2.sys 2.5及2.7版驱动程序,新版本已经符合微软新版驱动程序签章要求,但Rapid7发现,新版本并未解决write-what-where问题,即攻击者可能引发缓冲溢出,而可在任意地点写入任意值。这使得恶意程序突破微软LSA防护,而在Windows核心执行任意程序代码。LSA防护是Windows的防护机制,可防止未防护行程读取Windows LSASS(Local Security Authority Subsystem Service)内存或注入程序。
研究人员开发了一个概念验证Metasploit模块,只要攻击者具备管理员权限,即可用dbutildrv2.sys 2.5及2.7版本来打开或关闭行程。
Bleeping Computer引述Dell说法指出,依据微软驱动程序模型(Windows Driver Model)指引,由于需要特殊权限才能发动攻击,Dell将这问题列为弱点(weakness)而非漏洞(vulnerability)。Dell不会对此发布安全公告或漏洞编号。
安全公司目前尚未发现这两款驱动程序被用于恶意目的。