Onderzoekers ontdekken reeks kwetsbaarheden die miljoenen Dell-apparaten treft

Onderzoekers van Eclypsium ontdekten vier kwetsbaarheden in de BiosConnect-functionaliteit van Dell-computers. Als deze kwetsbaarheden in serie worden uitgebuit vormen ze een hoog risico. Dell is sinds maart op de hoogte gebracht en raadt een update van de bios aan.

De kwetsbaarheden werden aangetroffen in de BiosConnect-functionaliteit van Dell. Dat is een functie van de SupportAssist-software die op de meeste Dell-computers wordt voorgeïnstalleerd. Via BiosConnect kunnen gebruikers een herstel uitvoeren van het besturingssysteem en/of de firmware van de desbetreffende computers updaten. "De computer maakt hiervoor verbinding met de servers van Dell", klinkt het bij de onderzoekers. "Bij dit proces ontdekten we een reeks van vier kwetsbaarheden waardoor kwaadwilligen kunnen overgaan tot een arbitrary code execution op bios-niveau."

Volgens de onderzoekers kunnen kwaadwilligen het laadproces van het besturingssysteem beïnvloeden en beveiligingsmechanismen uitschakelen om onopgemerkt te blijven. Ze stellen dat 129 modellen risico lopen. Dat zijn volgens hen meer 30 miljoen Dell-toestellen. Op hun blogpagina geven de onderzoekers meer duiding. De volledige technische details worden in augustus uit de doeken gedaan op hackersconferentie DEF CON 29 die van 5 tot en met 8 augustus in Las Vegas zal plaatsvinden.

Dell legt op een supportpagina uit dat het ondertussen twee van de vier kwetsbaarheden heeft kunnen verhelpen omdat ze zich aan de serverkant bevonden. Voor de overige twee kwetsbaarheden raadt Dell aan om de bios van het Dell-apparaat manueel up te daten, en niet via de BIOSConnect-software.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Jay Stout

Redacteur

24-06-2021 • 19:13

37 Linkedin

Reacties (37)

Wijzig sortering
Ik denk dat het allemaal wel meevalt. Een gemiddelde organisatie zou zich meer zorgen moeten maken over andere software kwetsbaarheden.

“ To exploit the vulnerability chain in BIOSConnect, a malicious actor must separately perform additional steps before a successful exploit, including: compromise a user’s network, obtain a certificate that is trusted by one of the Dell UEFI BIOS https stack’s built-in Certificate Authorities, and wait for a user who is physically present at the system to use the BIOSConnect feature.”
Dat denk ik dus niet. De BIOS laag is de laag onder het OS met de meeste privileges van en tot het systeem. Als je de achterdeur daarvan wagenwijd open zet creëer je een enorme 'attack surface' voor niet alleen de rest van het systeem maar potentieel je gehele bedrijfsnetwerk. Antivirus of firewall pakketten hebben geen toegang tot de BIOS en dus kunnen aanvallers potentieel al maanden in je systemen zitten zonder dat je het door hebt. Deze aanval wordt dan ook bestempeld als critical en dit zou ik dan ook als zodanig beschouwen. Zo snel mogelijk je BIOS updaten. Behoorlijke fout van Dell. Eén belangrijke reden waarom wij als organisatie hebben gekozen voor HP EliteBooks die integriteit vanuit de hardware zelf middels endpoint security controller checken. De OS recovery functie wordt ook vanuit de hardware op integriteit gecheckt. De meest verregaande mate van hardwarebeveiliging in de markt.
Eens, maar kijk goed wat er noodzakelijk is voor een succesvolle exploit.

Ja, uiteraard moet je updaten (of die functies in BIOS uitschakelen). Een beetje organisatie heeft sowieso een BIOS PW ingesteld waardoor de gebruiker deze functie niet kan activeren.

Kijk naar kans x impact. De kans op een succesvolle exploit is extreem laag(nog lager met tegenmaatregelen). Mbt de impact ben ik het geheel met je eens, die kan ontzettend hoog zijn.

Ps er is ook nog geen publieke POC. Ik weet dat iedere organisatie ergens in de infra nog wel kwetsbaarheden heeft waar WEL een POC voor beschikbaar is(daarvoor mijn opmerking). Maakt niet uit waar ik kom, 100% compliant patchmanagement ben ik nog nooit tegengekomen (en ik test heel veel organisaties)
Uhh hoe kan ik ontdekken, dat iemand mij op deze manier gehackt heeft?
Op deze pagina van Dell kan je naar beneden scrollen en alle aangetaste modellen vinden,

De kans lijkt me klein dat je al geraakt bent, maar als je even kijkt of je model ertussen staat en even de laatste BIOS installeert ben je in elk geval al een stuk beter af.

Uiteraard even niet de BIOSconnect functie gebruiken maar handmatig updaten.

Edit: ik heb even de pagina's doorgelezen. Er is niks eenvoudigs wat je kan doen als je al slachtoffer bent. Je kan met tools als Cain en Wireshark je netwerkverkeer gaan monitoren, maar dat is denk ik wat te complex voor de gemiddelde gebruiker.

[Reactie gewijzigd door vlaaing peerd op 24 juni 2021 19:42]

Als je niet kan controleren of je slachtoffer bent.
En je hebt een betreffend model.
Dan moet je er vanuit gaan dat je gehackt bent.

Enige wat je kan doen is een risicoanalyse maken en in mij geval ben in dus eigenlijk verplicht om een melding te doen bij onze security afdeling.
In basis is dit de juiste manier van denken, Nadeel is wel dat je dan per definitie iedere dag een melding moet gaan doen, want je weet nooit of je gehackt bent, maar het zou wel kunnen.

In dit specifieke geval moet er nogal wat gebeuren voordat dit lek kan worden misbruikt. Zou ik niet meteen van in de stress raken.
Met deze redenering hang je wel vaak aan de telefoon met je security afdeling. Dit jaar al 8 keer voor zero-day vulnerabilities in Windows en 6 voor Chrome. Dat is natuurlijk kort door de bocht want de vraag is of het allemaal direct exploitable is in jouw omgeving, maar dat geldt ook voor dit gat in dell biosconnect functionaliteit.

Wat een concept zeg. Vragen om ellende natuurlijk zo'n feature. En de uitvoering is echt heel knullig. Geen validatie van de domeinnaam in het sslcertificaat is wel echt een dieptepunt.

Toch zie ik in het bron-artikel nergens staan dat dit volledig unattended gaat. Het lijkt erop dat je Biosconnect zelf moet starten, ofwel middels Social Engineering een gebruiker zover moet krijgen om deze aanval uit te voeren.

[Reactie gewijzigd door casberrypi op 25 juni 2021 09:19]

Thanks voor die lijst zo te zien gaat dit alleen om modellen uit 2021. deze hebben wij op dit moment niet in gebruik.
De datum lijkt me te verwijzen naar wanneer de BIOS update is uitgebracht. Er zitten modellen bij van de afgelopen jaren, niet enkel van 2021.
Modellen uit 2021 bestonden meestal in 2020 ook al. Ik heb thuis een model uit 2019 die ook in de lijst staat. Dus ga er maar vanuit dat om flink wat jaartjes bijna alle modellen gaat.
Iemand een idee om welke generatie(s) het zoal gaat? Vraag me af of een bepaalde pc kwetsbaar is, maar weet zo 123 het typenummer niet.
Iemand een idee om welke generatie(s) het zoal gaat? Vraag me af of een bepaalde pc kwetsbaar is, maar weet zo 123 het typenummer niet.
Je ziet op de website (link naar een highlight) welke releasedatum van de apparaten het betreft.
De datums op de tabel is de release date van de bios patch, niet van de machines. @tapkcir
Ow dus toch. Maar die systemen zullen van bepaalde periodes zijn gok ik. iemand die dat kan bevestigen en kan vertellen van welke periode/generatie deze systemen ongeveer zijn?
Op de webpagina die Tweakers linkt in het artikel staat een lijst met apparaten en de bios versie waarin de patch zit. Qua periode is het volgens mij 2019 2020 en misschien 2021 als ik kijk naar de systemen die ik beheer.
Ok.. De PC waar het om gaat is wat ouder, dus dan is er geen zorg. Thx!
Oh ik dacht dat dat misschien release dates van de patches waren. Allemaal zeer recente apparaten dus. Daar is bij mij geen sprake van :). Thx. _/-\o_
Het komt er dus op neer dat de bios een dns-request naar Dell doet via GoogleDNS (hardcoded) en vervolgens alles accepteerd zolang het maar gesigned is met een geldig wildcard-certificaat, gebaseerd op de Mozilla trust store (ook hardcoded). Relatief eenvoudig te MITM'en als je netwerktoegang hebt dus.
Voor mijn alienware nog niks gezien, als die uberhaupt onder deze kwetsbaarheden valt...
mja, als je je BIOS/preboot omgeving al aan het internet gaat hangen voor een update. Kan natuurlijk allang direct de BIOS in met KVM over internet, maar dat is meestal voor wat professioneler gebruik dan eindgebruikers. Gemak wint het weer van veiligheid blijkbaar.
In de zakelijke omgeving van grote bedrijven wordt dit zo gedaan.
Image met alle software en settings wordt klaargezet op de server voor jouw nieuwe laptop. Laptop bedraad aan het bedrijfsnetwerk hangen, laptop aanzetten, uurtje of 2 wachten, laptop klaar.
Aangezien deze functionaliteit hardcoded is, zou dus via de googleDNS en de Dell server jouw nieuwe laptop doorverwezen moeten worden naar een eigen omgeving, of de image bij Dell neergezet worden. Daar kan dus een MITM aanval plaatsvinden...


Zie hieronder, PXE boot is anders dan het probleem zoals beschreven in het artikel.

[Reactie gewijzigd door DropjesLover op 24 juni 2021 20:24]

Wat jij beschrijft is PXE boot en dat is toch wat anders dan dit.
Dell systemen kunnen op meerdere manieren een firmware update, waar de bios een onderdeel van is.
ouderwets de update downloaden en uitvoeren in het OS of bios/lifecircle. Direct vanuit de bios/lifecircle over internet. Een tool van Dell zelf in het OS. Daar waar nu dus een probleem in is gevonden.

Er hoeft dus niets direct aan internet. Jou Dell thuis pc, waarmee je op internet/tweakers.net kan loopt in dit geval een risico. Er wordt geen verbinding van buiten opgezet. Er hoeven dus ook geen poorten open gezet te worden.
De standaard firewall gaat dit ook niet tegen houden. Het is namelijk een legitieme verbinding opgezet vanuit jou pc richting wat het systeem denkt Dell.
Ja dus als je die hele biosconnect meuk niet draait is er niks aan de hand. Wie gebruikt dit überhaupt? Als ik een bios update doe download ik altijd al het .bin bestand. Vertrouwen in die online bios updates heb ik nooit gehad. Hierom en om mislukte pogingen door wegvallende verbindingen te voorkomen.

Dus inschaling van deze kwetsbaarheden: kans laag, impact hoog.
Het gaat er om deze functionaliteit default aan staat, dit een groot issue is.
Ik kan me niet voorstellen dat de laptop/PC automatisch, zonder tussenkomst van een gebruiker een bios update doet.
Als deze software. Welke van Dell zelf afkomt. Meld dat er een belangrijke update uitgevoerd dient te worden zullen de "normale" computergebruikers deze uitvoeren. Iemand met beveiliging in zijn gedachte gaat iets verder kijken en zal deze software ook niet gebruiken.
Was dit ook de nog niet bekend gemaakte reden voor de Linux Firmware Update tool spike?
Edit: Ah ja, Phoronix meld t nu idd. https://www.phoronix.com/...Dell-BIOS-Disconnect-Vuln .

[Reactie gewijzigd door - peter - op 24 juni 2021 19:46]

Kun je die functionaliteit dan niet uitschakelen in de Bios? Ik moet er niet aan denken om zulke updates via internet te doen. Vroeg of laat wordt het gehackt, net zoals IOT. Noem mij maar ouderwets, maar de meeste hardware moet je niet aan een online-service willen hangen (security, beschikbaarheid en privacy).
Het is niet direct een bios probleem. Maar een update tool dat in het OS draait en de bios update.
Hier gaat iets niet goed. De bios zelf gaan niet zelf op zoek naar een update. Dit zal je zelf moeten doen, of door een stukje software in je OS.
Je kunt wel in het bios de BiosConnect optie uitzetten als je een pc hebt welke deze functionaliteit ondersteunt. Zie ook de gelinkte pagina van Dell in het artikel
Lekker dan bij ons zijn we over gegaan van HP naar Dell laptops, de modellen die we hebben staan allemaal op de lijst |:(

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee