Onderzoekers ontdekken reeks kwetsbaarheden die miljoenen Dell-apparaten treft

Onderzoekers van Eclypsium ontdekten vier kwetsbaarheden in de BiosConnect-functionaliteit van Dell-computers. Als deze kwetsbaarheden in serie worden uitgebuit vormen ze een hoog risico. Dell is sinds maart op de hoogte gebracht en raadt een update van de bios aan.

De kwetsbaarheden werden aangetroffen in de BiosConnect-functionaliteit van Dell. Dat is een functie van de SupportAssist-software die op de meeste Dell-computers wordt voorgeïnstalleerd. Via BiosConnect kunnen gebruikers een herstel uitvoeren van het besturingssysteem en/of de firmware van de desbetreffende computers updaten. "De computer maakt hiervoor verbinding met de servers van Dell", klinkt het bij de onderzoekers. "Bij dit proces ontdekten we een reeks van vier kwetsbaarheden waardoor kwaadwilligen kunnen overgaan tot een arbitrary code execution op bios-niveau."

Volgens de onderzoekers kunnen kwaadwilligen het laadproces van het besturingssysteem beïnvloeden en beveiligingsmechanismen uitschakelen om onopgemerkt te blijven. Ze stellen dat 129 modellen risico lopen. Dat zijn volgens hen meer 30 miljoen Dell-toestellen. Op hun blogpagina geven de onderzoekers meer duiding. De volledige technische details worden in augustus uit de doeken gedaan op hackersconferentie DEF CON 29 die van 5 tot en met 8 augustus in Las Vegas zal plaatsvinden.

Dell legt op een supportpagina uit dat het ondertussen twee van de vier kwetsbaarheden heeft kunnen verhelpen omdat ze zich aan de serverkant bevonden. Voor de overige twee kwetsbaarheden raadt Dell aan om de bios van het Dell-apparaat manueel up te daten, en niet via de BIOSConnect-software.

Dell

Reacties (37)

iDennis3D 24 juni 2021 21:35

Ik denk dat het allemaal wel meevalt. Een gemiddelde organisatie zou zich meer zorgen moeten maken over andere software kwetsbaarheden.

“ To exploit the vulnerability chain in BIOSConnect, a malicious actor must separately perform additional steps before a successful exploit, including: compromise a user’s network, obtain a certificate that is trusted by one of the Dell UEFI BIOS https stack’s built-in Certificate Authorities, and wait for a user who is physically present at the system to use the BIOSConnect feature.”

Magyku30 @iDennis3D • 26 juni 2021 18:09

Dat denk ik dus niet. De BIOS laag is de laag onder het OS met de meeste privileges van en tot het systeem. Als je de achterdeur daarvan wagenwijd open zet creëer je een enorme 'attack surface' voor niet alleen de rest van het systeem maar potentieel je gehele bedrijfsnetwerk. Antivirus of firewall pakketten hebben geen toegang tot de BIOS en dus kunnen aanvallers potentieel al maanden in je systemen zitten zonder dat je het door hebt. Deze aanval wordt dan ook bestempeld als critical en dit zou ik dan ook als zodanig beschouwen. Zo snel mogelijk je BIOS updaten. Behoorlijke fout van Dell. Eén belangrijke reden waarom wij als organisatie hebben gekozen voor HP EliteBooks die integriteit vanuit de hardware zelf middels endpoint security controller checken. De OS recovery functie wordt ook vanuit de hardware op integriteit gecheckt. De meest verregaande mate van hardwarebeveiliging in de markt.

iDennis3D @Magyku30 • 26 juni 2021 23:55

Eens, maar kijk goed wat er noodzakelijk is voor een succesvolle exploit.

Ja, uiteraard moet je updaten (of die functies in BIOS uitschakelen). Een beetje organisatie heeft sowieso een BIOS PW ingesteld waardoor de gebruiker deze functie niet kan activeren.

Kijk naar kans x impact. De kans op een succesvolle exploit is extreem laag(nog lager met tegenmaatregelen). Mbt de impact ben ik het geheel met je eens, die kan ontzettend hoog zijn.

Ps er is ook nog geen publieke POC. Ik weet dat iedere organisatie ergens in de infra nog wel kwetsbaarheden heeft waar WEL een POC voor beschikbaar is(daarvoor mijn opmerking). Maakt niet uit waar ik kom, 100% compliant patchmanagement ben ik nog nooit tegengekomen (en ik test heel veel organisaties)

wica 24 juni 2021 19:26

Uhh hoe kan ik ontdekken, dat iemand mij op deze manier gehackt heeft?

vlaaing peerd @wica • 24 juni 2021 19:32

Op deze pagina van Dell kan je naar beneden scrollen en alle aangetaste modellen vinden,

De kans lijkt me klein dat je al geraakt bent, maar als je even kijkt of je model ertussen staat en even de laatste BIOS installeert ben je in elk geval al een stuk beter af.

Uiteraard even niet de BIOSconnect functie gebruiken maar handmatig updaten.

Edit: ik heb even de pagina's doorgelezen. Er is niks eenvoudigs wat je kan doen als je al slachtoffer bent. Je kan met tools als Cain en Wireshark je netwerkverkeer gaan monitoren, maar dat is denk ik wat te complex voor de gemiddelde gebruiker.

[Reactie gewijzigd door vlaaing peerd op 23 juli 2024 05:45]

wica @vlaaing peerd • 24 juni 2021 19:49

Als je niet kan controleren of je slachtoffer bent.
En je hebt een betreffend model.
Dan moet je er vanuit gaan dat je gehackt bent.

Enige wat je kan doen is een risicoanalyse maken en in mij geval ben in dus eigenlijk verplicht om een melding te doen bij onze security afdeling.

Cyberpuppy @wica • 25 juni 2021 08:09

In basis is dit de juiste manier van denken, Nadeel is wel dat je dan per definitie iedere dag een melding moet gaan doen, want je weet nooit of je gehackt bent, maar het zou wel kunnen.

In dit specifieke geval moet er nogal wat gebeuren voordat dit lek kan worden misbruikt. Zou ik niet meteen van in de stress raken.

casberrypi @wica • 25 juni 2021 09:17

Met deze redenering hang je wel vaak aan de telefoon met je security afdeling. Dit jaar al 8 keer voor zero-day vulnerabilities in Windows en 6 voor Chrome. Dat is natuurlijk kort door de bocht want de vraag is of het allemaal direct exploitable is in jouw omgeving, maar dat geldt ook voor dit gat in dell biosconnect functionaliteit.

Wat een concept zeg. Vragen om ellende natuurlijk zo'n feature. En de uitvoering is echt heel knullig. Geen validatie van de domeinnaam in het sslcertificaat is wel echt een dieptepunt.

Toch zie ik in het bron-artikel nergens staan dat dit volledig unattended gaat. Het lijkt erop dat je Biosconnect zelf moet starten, ofwel middels Social Engineering een gebruiker zover moet krijgen om deze aanval uit te voeren.

[Reactie gewijzigd door casberrypi op 23 juli 2024 05:45]

firest0rm @vlaaing peerd • 24 juni 2021 21:56

Thanks voor die lijst zo te zien gaat dit alleen om modellen uit 2021. deze hebben wij op dit moment niet in gebruik.

Gumball3000 @firest0rm • 25 juni 2021 11:14

De datum lijkt me te verwijzen naar wanneer de BIOS update is uitgebracht. Er zitten modellen bij van de afgelopen jaren, niet enkel van 2021.

SSH @firest0rm • 25 juni 2021 22:42

Modellen uit 2021 bestonden meestal in 2020 ook al. Ik heb thuis een model uit 2019 die ook in de lijst staat. Dus ga er maar vanuit dat om flink wat jaartjes bijna alle modellen gaat.

tapkcir 24 juni 2021 21:13

Iemand een idee om welke generatie(s) het zoal gaat? Vraag me af of een bepaalde pc kwetsbaar is, maar weet zo 123 het typenummer niet.

robert98983 @tapkcir • 24 juni 2021 21:33

Iemand een idee om welke generatie(s) het zoal gaat? Vraag me af of een bepaalde pc kwetsbaar is, maar weet zo 123 het typenummer niet.

Je ziet op de website (link naar een highlight) welke releasedatum van de apparaten het betreft.

djdaan @robert98983 • 24 juni 2021 23:30

De datums op de tabel is de release date van de bios patch, niet van de machines. @tapkcir

tapkcir @djdaan • 25 juni 2021 09:44

Ow dus toch. Maar die systemen zullen van bepaalde periodes zijn gok ik. iemand die dat kan bevestigen en kan vertellen van welke periode/generatie deze systemen ongeveer zijn?

djdaan @tapkcir • 25 juni 2021 10:21

Op de webpagina die Tweakers linkt in het artikel staat een lijst met apparaten en de bios versie waarin de patch zit. Qua periode is het volgens mij 2019 2020 en misschien 2021 als ik kijk naar de systemen die ik beheer.

tapkcir @djdaan • 25 juni 2021 20:03

Ok.. De PC waar het om gaat is wat ouder, dus dan is er geen zorg. Thx!

tapkcir @robert98983 • 24 juni 2021 21:42

Oh ik dacht dat dat misschien release dates van de patches waren. Allemaal zeer recente apparaten dus. Daar is bij mij geen sprake van

. Thx. $_/-\o_$

Noxious 24 juni 2021 19:24

Het komt er dus op neer dat de bios een dns-request naar Dell doet via GoogleDNS (hardcoded) en vervolgens alles accepteerd zolang het maar gesigned is met een geldig wildcard-certificaat, gebaseerd op de Mozilla trust store (ook hardcoded). Relatief eenvoudig te MITM'en als je netwerktoegang hebt dus.

sderooij 24 juni 2021 19:26

Voor mijn alienware nog niks gezien, als die uberhaupt onder deze kwetsbaarheden valt...

vlaaing peerd 24 juni 2021 19:28

mja, als je je BIOS/preboot omgeving al aan het internet gaat hangen voor een update. Kan natuurlijk allang direct de BIOS in met KVM over internet, maar dat is meestal voor wat professioneler gebruik dan eindgebruikers. Gemak wint het weer van veiligheid blijkbaar.

DropjesLover @vlaaing peerd • 24 juni 2021 19:52

In de zakelijke omgeving van grote bedrijven wordt dit zo gedaan.
Image met alle software en settings wordt klaargezet op de server voor jouw nieuwe laptop. Laptop bedraad aan het bedrijfsnetwerk hangen, laptop aanzetten, uurtje of 2 wachten, laptop klaar.
Aangezien deze functionaliteit hardcoded is, zou dus via de googleDNS en de Dell server jouw nieuwe laptop doorverwezen moeten worden naar een eigen omgeving, of de image bij Dell neergezet worden. Daar kan dus een MITM aanval plaatsvinden...

Zie hieronder, PXE boot is anders dan het probleem zoals beschreven in het artikel.

[Reactie gewijzigd door DropjesLover op 23 juli 2024 05:45]

wica @DropjesLover • 24 juni 2021 19:59

Wat jij beschrijft is PXE boot en dat is toch wat anders dan dit.

Z80 @vlaaing peerd • 25 juni 2021 10:11

Dell systemen kunnen op meerdere manieren een firmware update, waar de bios een onderdeel van is.
ouderwets de update downloaden en uitvoeren in het OS of bios/lifecircle. Direct vanuit de bios/lifecircle over internet. Een tool van Dell zelf in het OS. Daar waar nu dus een probleem in is gevonden.

Er hoeft dus niets direct aan internet. Jou Dell thuis pc, waarmee je op internet/tweakers.net kan loopt in dit geval een risico. Er wordt geen verbinding van buiten opgezet. Er hoeven dus ook geen poorten open gezet te worden.
De standaard firewall gaat dit ook niet tegen houden. Het is namelijk een legitieme verbinding opgezet vanuit jou pc richting wat het systeem denkt Dell.

stijnos1991 24 juni 2021 23:14

Ja dus als je die hele biosconnect meuk niet draait is er niks aan de hand. Wie gebruikt dit überhaupt? Als ik een bios update doe download ik altijd al het .bin bestand. Vertrouwen in die online bios updates heb ik nooit gehad. Hierom en om mislukte pogingen door wegvallende verbindingen te voorkomen.

Dus inschaling van deze kwetsbaarheden: kans laag, impact hoog.

Roel911 @stijnos1991 • 25 juni 2021 01:51

Het gaat er om deze functionaliteit default aan staat, dit een groot issue is.

stijnos1991 @Roel911 • 25 juni 2021 08:47

Ik kan me niet voorstellen dat de laptop/PC automatisch, zonder tussenkomst van een gebruiker een bios update doet.

Z80 @stijnos1991 • 25 juni 2021 10:37

Als deze software. Welke van Dell zelf afkomt. Meld dat er een belangrijke update uitgevoerd dient te worden zullen de "normale" computergebruikers deze uitvoeren. Iemand met beveiliging in zijn gedachte gaat iets verder kijken en zal deze software ook niet gebruiken.

- peter -

24 juni 2021 19:45

Was dit ook de nog niet bekend gemaakte reden voor de Linux Firmware Update tool spike?
Edit: Ah ja, Phoronix meld t nu idd. https://www.phoronix.com/...Dell-BIOS-Disconnect-Vuln .

[Reactie gewijzigd door - peter - op 23 juli 2024 05:45]

MazDaMan1970 24 juni 2021 20:23

Kun je die functionaliteit dan niet uitschakelen in de Bios? Ik moet er niet aan denken om zulke updates via internet te doen. Vroeg of laat wordt het gehackt, net zoals IOT. Noem mij maar ouderwets, maar de meeste hardware moet je niet aan een online-service willen hangen (security, beschikbaarheid en privacy).

Z80 @MazDaMan1970 • 25 juni 2021 10:34

Het is niet direct een bios probleem. Maar een update tool dat in het OS draait en de bios update.
Hier gaat iets niet goed. De bios zelf gaan niet zelf op zoek naar een update. Dit zal je zelf moeten doen, of door een stukje software in je OS.

Zeehond FP Admin / FP PowerMod / Moderator Wonen en Mobiliteit @MazDaMan1970 • 26 juni 2021 20:39

Je kunt wel in het bios de BiosConnect optie uitzetten als je een pc hebt welke deze functionaliteit ondersteunt. Zie ook de gelinkte pagina van Dell in het artikel

Pierre 24 juni 2021 20:59

Lekker dan bij ons zijn we over gegaan van HP naar Dell laptops, de modellen die we hebben staan allemaal op de lijst

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (37)

Sorteer op:

Weergave: