Dell corrige des problèmes de sécurité critiques présents dans ses pilotes depuis 2009

Spread the love
Dell corrige des problèmes de sécurité critiques présents dans ses pilotes depuis 2009

Des chercheurs viennent de découvrir cinq vulnérabilités graves dans un pilote utilisé par les appareils Dell depuis plus d’une décennie. La société de cybersécurité SentinelLabs a indiqué ce mardi avoir découvert ces vulnérabilités grâce au chercheur en sécurité Kasif Dekel, qui a exploré le pilote DBUtil BIOS de Dell – un logiciel utilisé dans les PC de bureau et portables, les ordinateurs portables et les tablettes du fournisseur. L’équipe affirme que le pilote est vulnérable depuis 2009, bien qu’il n’y ait aucune preuve, à l’heure actuelle, que les failles aient été exploitées dans la nature.

Le pilote BIOS DBUtil, qui est préinstallé sur de nombreuses machines Dell fonctionnant sous Windows, contient un composant – le module dbutil_2_3.sys – qui a fait l’objet de l’examen minutieux du chercheur. Dell a attribué un CVE (CVE-2021-21551), CVSS 8.8, pour couvrir les cinq vulnérabilités révélées par SentinelLabs. Deux de ces failles constituent des problèmes de corruption de mémoire dans le pilote, deux sont des failles de sécurité causées par un manque de validation des entrées, et un problème logique a été trouvé qui pourrait être exploité pour déclencher un déni de service.

« Ces multiples vulnérabilités critiques dans les logiciels Dell pourraient permettre aux attaquants d’escalader les privilèges d’un utilisateur non administrateur vers des privilèges en mode noyau », indiquent les chercheurs de SentinelLabs. L’équipe note que le problème le plus crucial dans le pilote est que les exigences des listes de contrôle d’accès (ACL), qui définissent les permissions, ne sont pas invoquées pendant les demandes de contrôle d’entrée/sortie (IOCTL).

publicité

Des niveaux élevés de privilèges

Comme les pilotes fonctionnent souvent avec des niveaux élevés de privilèges, cela signifie que des demandes peuvent être envoyées localement par des utilisateurs non privilégiés. « [Cela] peut être invoqué par un utilisateur non privilégié », indiquent les chercheurs. « Permettre à n’importe quel processus de communiquer avec votre pilote est souvent une mauvaise pratique, car les pilotes fonctionnent avec les privilèges les plus élevés ; ainsi, certaines fonctions IOCTL peuvent être abusées “à dessein”. »

Les fonctions du pilote étaient également exposées, créant des vulnérabilités en lecture/écriture utilisables pour écraser les jetons et escalader les privilèges. Un autre bug intéressant concerne la possibilité d’utiliser des opérandes arbitraires pour exécuter des instructions IN/OUT (I/O) en mode noyau.

« Puisque le niveau de privilège IOPL (I/O privilege level) est égal au niveau de privilège CPL (current privilege level), il est évidemment possible d’interagir avec des périphérique comme le disque dur et le GPU pour lire/écrire directement sur le disque ou invoquer des opérations DMA », note l’équipe. « Par exemple, nous pourrions communiquer avec le port ATA IO pour écrire directement sur le disque, puis écraser un binaire chargé par un processus privilégié. »

Dell publie un pilote corrigé

« Ces vulnérabilités critiques, qui sont présentes dans les appareils Dell depuis 2009, affectent des millions d’appareils et des millions d’utilisateurs dans le monde. Comme pour une vulnérabilité précédente resté cachée pendant 12 ans, il est difficile de surestimer l’impact que cela pourrait avoir sur les utilisateurs et les entreprises qui n’appliquent pas de correctifs. Le code de preuve de concept (PoC) est retenu jusqu’en juin afin de laisser aux utilisateurs le temps d’appliquer les correctifs », a commenté SentinelLabs.

Dell a été mis au courant des conclusions de Kasif Dekel le 1er décembre 2020. Suite au triage et aux problèmes entourant certains correctifs pour les produits en fin de vie, Dell a travaillé avec Microsoft et a maintenant publié un pilote corrigé pour les machines Windows.

Le géant de l’informatique a publié un avis (DSA-2021-088) et un document de FAQ contenant les étapes de remédiation pour corriger les bugs. Dell décrit la faille de sécurité comme étant « un pilote (dbutil_2_3.sys) fourni avec les utilitaires de mise à jour du firmware et les outils logiciels Dell Client [qui] contient une vulnérabilité de contrôle d’accès insuffisante qui peut conduire à une élévation de privilèges, un déni de service ou une divulgation d’informations. Un accès utilisateur local authentifié est d’abord requis avant que cette vulnérabilité puisse être exploitée ».

« Nous avons remédié à une vulnérabilité (CVE-2021-21551) dans un pilote (dbutil_2_3.sys) affectant certains ordinateurs Dell sous Windows », indique un porte-parole de Dell. « Nous n’avons vu aucune preuve que cette vulnérabilité ait été exploitée par des acteurs malveillants à ce jour. Nous apprécions que les chercheurs travaillent directement avec nous pour résoudre le problème. »

Source : ZDNet.com

Leave a Reply