Keamanan cyber (terbuka di tab baru) peneliti telah menemukan empat kerentanan kritis di lingkungan pra-booting perangkat Dell (terbuka di tab baru) yang membuat mereka terkena serangan eksekusi kode jarak jauh.
Penjual keamanan laporan Eclypsium (terbuka di tab baru) bahwa kerentanan pada alat BIOSConnect Dell memengaruhi lebih dari seratus model perangkat Dell termasuk konsumen dan desktop bisnis (terbuka di tab baru), laptop (terbuka di tab baru)dan tablet (terbuka di tab baru).
BIOSConnect adalah pembaruan firmware dan fitur alat pemulihan sistem operasi jarak jauh yang merupakan bagian dari alat dukungan SupportAssist (terbuka di tab baru) yang dibundel dengan komputer Dell.
“Penelitian kami telah mengidentifikasi serangkaian empat kerentanan yang akan memungkinkan penyerang jaringan yang memiliki hak istimewa untuk mendapatkan eksekusi kode arbitrer di dalam BIOS mesin yang rentan,” demikian laporan dari Eclypsium.
Dell telah mengeluarkan tambalan untuk memitigasi kerentanan (terbuka di tab baru).
Target memikat
Menurut Threatpost (terbuka di tab baru) bug memungkinkan pelaku ancaman untuk menghindari perlindungan Boot Aman dari perangkat Dell, mengontrol proses bootingnya, dan menumbangkan sistem operasi dan kontrol keamanan lapisan yang lebih tinggi.
Kerentanan inti melibatkan ketidakamanan TLS (terbuka di tab baru) koneksi antara Dell dan BIOS pada perangkat mereka. Laporan tersebut menjelaskan bahwa berkat bug tersebut, koneksi TLS BIOSConnect akan menerima “sertifikat wildcard apa pun yang valid”.
Ini, para peneliti mencatat, secara efektif memungkinkan penyerang untuk menyamar sebagai Dell dan mengirimkan konten jahat apa pun ke perangkat korban.
Tiga kerentanan lainnya adalah kerentanan buffer overflow, yang diaktifkan oleh koneksi TLS tidak aman yang dieksploitasi, dan memungkinkan eksekusi kode arbitrer pada level BIOS/Unified Extensible Firmware Interface (UEFI).
Eclypsium percaya bahwa kerentanan Dell menunjukkan bahwa ketika vendor semakin beralih ke proses pembaruan over-the-air, setiap kerentanan yang tidak tertangani dalam mekanisme dapat menimbulkan konsekuensi serius.
“Kombinasi dari eksploitasi jarak jauh dan hak istimewa yang tinggi kemungkinan akan membuat fungsionalitas pembaruan jarak jauh menjadi target yang menarik bagi penyerang di masa mendatang,” Eclypsium menyimpulkan
