El fabricante de PC Dell ha publicado una actualización para corregir múltiples vulnerabilidades críticas de escalada de privilegios que no fueron detectadas desde 2009, lo que potencialmente permite a los atacantes obtener privilegios en modo kernel y causar una condición de denegación de servicio.
Los problemas, informados a Dell por investigadores de SentinelOne el 1 de diciembre de 2020, residen en un controlador de actualización de firmware llamado «dbutil_2_3.sys» que viene preinstalado en sus dispositivos. Se dice que cientos de millones de computadoras de escritorio, portátiles, portátiles y tabletas fabricadas por la empresa son vulnerables.
«El controlador Dell dbutil_2_3.sys contiene una vulnerabilidad de control de acceso insuficiente que puede conducir a una escalada de privilegios, denegación de servicio o divulgación de información. Se requiere acceso de usuario autenticado local», dijo Dell en un aviso.
A las cinco fallas separadas se les ha asignado el identificador CVE CVE-2021-21551 con una puntuación CVSS de 8.8. Un desglose de las deficiencias es el siguiente:
- CVE-2021-21551: Elevación local de privilegios n. ° 1: corrupción de memoria
- CVE-2021-21551: Elevación local de privilegios n. ° 2: corrupción de memoria
- CVE-2021-21551: Elevación local de privilegios n. ° 3: falta de validación de entrada
- CVE-2021-21551: Elevación local de privilegios n. ° 4: falta de validación de entrada
- CVE-2021-21551: Denegación de servicio: problema de lógica de código
«Las fallas de alta gravedad podrían permitir a cualquier usuario en la computadora, incluso sin privilegios, escalar sus privilegios y ejecutar código en modo kernel», señaló el investigador senior de seguridad de SentinelOne, Kasif Dekel , en un análisis del martes. «Entre los abusos obvios de tales vulnerabilidades se encuentran que podrían usarse para eludir productos de seguridad».
Dado que se trata de errores de escalada de privilegios locales, es poco probable que se exploten de forma remota a través de Internet. Para llevar a cabo un ataque, un adversario deberá haber obtenido acceso a una cuenta que no sea de administrador en un sistema vulnerable, después de lo cual se puede abusar de la vulnerabilidad del controlador para obtener una elevación local de privilegios. Armado con este acceso, el atacante puede aprovechar otras técnicas para ejecutar código arbitrario y moverse lateralmente a través de la red de una organización.
Aunque no se ha detectado evidencia de abuso en la naturaleza, SentinelOne dijo que planea lanzar el código de prueba de concepto (PoC) el 1 de junio de 2021, dando a los clientes de Dell tiempo suficiente para remediar la vulnerabilidad.
La divulgación de SentinelOne es la tercera vez que se informa el mismo problema a Dell en los últimos dos años, según el arquitecto jefe de Crowdtrike, Alex Ionescu, primero por la firma de ciberseguridad con sede en Sunnyvale en 2019 y nuevamente por IOActive. Dell también le dio crédito a Scott Noone de OSR Open Systems Resources por reportar la vulnerabilidad.