鎖定企業裝置安全性的資安業者Eclypsium本周披露,Dell裝置內建管理軟體SupportAssist的BIOSConnect元件含有4個安全漏洞,雖然這4個漏洞個別的CVSS風險評分並不高,但串連之後CVSS風險評分即高達8.3,將允許駭客假冒為Dell.com並自遠端執行任意程式,波及多達129款的Dell裝置,涵蓋桌上型電腦、筆電與平板電腦,全球至少有3,000萬臺Dell裝置含有相關漏洞。

SupportAssist為預裝在Dell&Windows裝置上的管理程式,而BIOSConnect則是Dell的預啟動解決方案,可用來更新BIOS,以及支援SupportAssist的作業系統回復功能。此外,BIOSConnect可讓系統上的BIOS,透過網路存取Dell的後端服務,以協調更新或回復程序。

不過,Dell強調,BIOSConnect需要實際的使用者來啟用,也只有部分具備BIOSConnect功能的平臺會受到影響。

Eclypsium所發現的4個安全漏洞,分別是CVE-2021-21571、CVE-2021-21572、CVE-2021-21573與CVE-2021-21574,其中,CVE-2021-21571漏洞是因BIOSConnect及Dell HTTPS Boot所使用的UEFI BIOS https堆疊,含有不適當的憑證驗證漏洞,可能造成中間人攻擊而導致服務阻斷或酬載竄改,其CVSS風險評分為5.9。

其它三個漏洞則皆肇因於BIOSConnect所存在的緩衝區溢位漏洞,允許具備管理權限及本地端存取能力的使用者,繞過UEFI限制而執行任意程式,它們的CVSS風險評分為7.2。

然而,Eclypsium指出,當串連這4個漏洞之後,將允許駭客於預先啟動的環境中,自遠端執行任意程式,這些惡意程式可能變更作業系統的初始狀態,違反硬體及韌體層的通用假設,並破壞作業系統的安全控制,像是假冒為Dell.com並以BIOS/UEFI 等級來執行任意程式,使其CVSS風險評分升高至8.3。在Eclypsium發布漏洞資訊之際,Dell已修補了上述4個漏洞。

 相關資料  Dell SupportAssist安全漏洞官方公告(2021-06-24)

熱門新聞

Advertisement