BIOS系统可被远程攻击,3000万台戴尔设备面临重大风险
2021-06-25
来源: 互联网安全内参
高权限攻击者可以利用这些漏洞,在目标设备的BIOS/UEFI上执行任意代码,即使采用安全启动(Secure Boot)功能的设备也受影响。
6月24日,安全研究人员披露了一系列戴尔终端BIOS系统中BIOSConnect功能所存在的漏洞,高权限攻击者可以利用这些漏洞,在目标设备的BIOS/UEFI上获得执行任意代码的能力。
BIOS系统是一组固化到计算机主板上一个ROM芯片上的程序,主要功能是为计算机提供最底层的、最直接的硬件设置和控制。
美国企业级设备安全厂商Eclypsium的研究人员强调,“攻击者能够在这套预启动环境下远程执行代码,换而言之,对方完全有能力入侵操作系统并破坏设备的整体可信度。这类攻击能在设备上获得最高控制权限,攻击者将会积极尝试利用。”
这一系列漏洞影响到了128款戴尔旗下设备型号,涵盖消费级与商务笔记本电脑、台式机以及平板电脑,估计设备总数量约为3000万台。更糟糕的是,这些漏洞还会影响到采用安全启动(Secure Boot)功能的计算机,该功能可以防止设备启动时将rootkit加载至内存当中。
BIOSConnect负责提供基于网络的启动恢复功能,允许BIOS通过HTTPS连接到戴尔的后端服务器,下载操作系统镜像,帮助用户在本地磁盘镜像损坏、需要替换或者暂时缺失时仍能顺利完成系统恢复。
一旦上述漏洞遭到利用,设备完整性将被严重破坏,攻击者能够在预启动环境中远程执行恶意代码、进而改变操作系统的初始状态并破坏操作系统层级的安全保护。
Eclypsium公司发现的四个漏洞具体如下:
CVE-2021-21571:从BIOS到戴尔的非安全TLS连接,恶意攻击者可能冒名顶替Dell.com并将恶意代码传送回受害者的设备。
CVE-2021-21572、CVE-2021-21573与CVE-2021-21574 :允许执行任何代码的溢出漏洞
研究人员表示,这种远程利用乃至控制设备上的最高权限代码的可能性,往往会令恶意攻击者们趋之若鹜。
Eclypsium公司早在今年3月3日就已经向戴尔报告了上述问题,戴尔则随后于5月28日发布了服务器端更新以修复CVE-2021-21573 与 CVE-2021-21574。此外,戴尔也发布了BIOS固件更新,顺利解决了其余两项漏洞。
此外,戴尔公司还设计出一套变通方案,帮助无法立即安装补丁的客户及时禁用BIOSConnect与HTTPS启动功能。
Eclypsium研究人员们总结道,“一旦成功突破设备BIOS,攻击者将获得极高的设备控制权限。他们能够控制主机加载操作系统的过程,并通过禁用保护机制隐藏起自己的行动痕迹。有了这样的基础,攻击者完全能够在掌控设备最高权限的同时保持长期驻留。”