情境示意圖,photo by Erick Cerritos on unsplash

Dell 5月修補一個存在長達12年的驅動程式漏洞CVE-2021-21551,可能讓駭客在Dell裝置上執行惡意程式碼。不過安全廠商發現,修補後的驅動程式仍存在BYOVD(Bring Your Own Vulnerable Driver)風險。

CVE-2021-21551位於Dell驅動程式DBUtil(dbutil_2_3.sys)之中,實際涵括5項瑕疵,後果涵括權限擴張,1項可引發阻斷服務(Denial of Service,DoS)攻擊,Dell統稱為CVE-2021-21551存取控管不足漏洞。該漏洞估計影響上千萬臺Dell筆電或桌機等產品。

安全廠商Rapid 7發現,雖然Dell 5月間重新發布了dbutildrv2.sys作為新的驅動程式,但並不完全解決上述漏洞,仍然讓用戶曝露於BYOVD(Bring Your Own Vulnerable Driver)的攻擊風險中。

所謂BYOVD是指企業用戶電腦安裝了合法,但並不安全的驅動程式。微軟雖然推動Windows DSE(Driver Signature Enforcement),任何驅動程式或第三方程式都要經過微軟簽章才能確保為正版、安全的程式。由於驅動程式可在Windows核心執行,因此利用BYOVD技倆散布的惡意程式更加危險。惡意程式取得微軟簽章而散布的情形仍然屢見不鮮,而用於BYOVD攻擊的驅動程式還包括asrdrv101.sys、asrdrv102.sys、ucorew.sys、piddrv.sys、atillk64.sys等。

5月後Dell發布了dbutildrv2.sys 2.5 及2.7版驅動程式,新版本已經符合微軟新版驅動程式簽章要求,但Rapid7發現,新版本並未解決write-what-where問題,即攻擊者可能引發緩衝溢位,而可在任意地點寫入任意值。這使得惡意程式突破微軟LSA防護,而在Windows核心執行任意程式碼。LSA防護是Windows的防護機制,可防止未防護行程讀取Windows LSASS(Local Security Authority Subsystem Service)記憶體或注入程式。

研究人員開發了一個概念驗證Metasploit模組,只要攻擊者具備管理員權限,即可用dbutildrv2.sys 2.5 及2.7版本來開啟或關閉行程。

Bleeping Computer引述Dell說法指出,依據微軟驅動程式模型(Windows Driver Model)指引,由於需要特殊權限才能發動攻擊,Dell將這問題列為弱點(weakness)而非漏洞(vulnerability)。Dell不會對此發布安全公告或漏洞編號。

安全公司目前尚未發現這兩款驅動程式被用於惡意目的。

熱門新聞

Advertisement