《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > BIOS系統(tǒng)可被遠(yuǎn)程攻擊,3000萬臺戴爾設(shè)備面臨重大風(fēng)險

BIOS系統(tǒng)可被遠(yuǎn)程攻擊,,3000萬臺戴爾設(shè)備面臨重大風(fēng)險

2021-06-25
來源: 互聯(lián)網(wǎng)安全內(nèi)參

  高權(quán)限攻擊者可以利用這些漏洞,,在目標(biāo)設(shè)備的BIOS/UEFI上執(zhí)行任意代碼,即使采用安全啟動(Secure Boot)功能的設(shè)備也受影響,。

  6月24日,安全研究人員披露了一系列戴爾終端BIOS系統(tǒng)中BIOSConnect功能所存在的漏洞,高權(quán)限攻擊者可以利用這些漏洞,,在目標(biāo)設(shè)備的BIOS/UEFI上獲得執(zhí)行任意代碼的能力。

  BIOS系統(tǒng)是一組固化到計算機(jī)主板上一個ROM芯片上的程序,,主要功能是為計算機(jī)提供最底層的,、最直接的硬件設(shè)置和控制。

  美國企業(yè)級設(shè)備安全廠商Eclypsium的研究人員強(qiáng)調(diào),,“攻擊者能夠在這套預(yù)啟動環(huán)境下遠(yuǎn)程執(zhí)行代碼,,換而言之,對方完全有能力入侵操作系統(tǒng)并破壞設(shè)備的整體可信度,。這類攻擊能在設(shè)備上獲得最高控制權(quán)限,,攻擊者將會積極嘗試?yán)谩,!?/p>

  微信圖片_20210625141214.jpg

  這一系列漏洞影響到了128款戴爾旗下設(shè)備型號,,涵蓋消費(fèi)級與商務(wù)筆記本電腦、臺式機(jī)以及平板電腦,,估計設(shè)備總數(shù)量約為3000萬臺,。更糟糕的是,這些漏洞還會影響到采用安全啟動(Secure Boot)功能的計算機(jī),該功能可以防止設(shè)備啟動時將rootkit加載至內(nèi)存當(dāng)中,。

  BIOSConnect負(fù)責(zé)提供基于網(wǎng)絡(luò)的啟動恢復(fù)功能,,允許BIOS通過HTTPS連接到戴爾的后端服務(wù)器,下載操作系統(tǒng)鏡像,,幫助用戶在本地磁盤鏡像損壞,、需要替換或者暫時缺失時仍能順利完成系統(tǒng)恢復(fù)。

  一旦上述漏洞遭到利用,,設(shè)備完整性將被嚴(yán)重破壞,,攻擊者能夠在預(yù)啟動環(huán)境中遠(yuǎn)程執(zhí)行惡意代碼、進(jìn)而改變操作系統(tǒng)的初始狀態(tài)并破壞操作系統(tǒng)層級的安全保護(hù),。

  Eclypsium公司發(fā)現(xiàn)的四個漏洞具體如下:

  CVE-2021-21571:從BIOS到戴爾的非安全TLS連接,,惡意攻擊者可能冒名頂替Dell.com并將惡意代碼傳送回受害者的設(shè)備。

  CVE-2021-21572,、CVE-2021-21573與CVE-2021-21574 :允許執(zhí)行任何代碼的溢出漏洞

  研究人員表示,,這種遠(yuǎn)程利用乃至控制設(shè)備上的最高權(quán)限代碼的可能性,往往會令惡意攻擊者們趨之若鶩,。

  Eclypsium公司早在今年3月3日就已經(jīng)向戴爾報告了上述問題,,戴爾則隨后于5月28日發(fā)布了服務(wù)器端更新以修復(fù)CVE-2021-21573 與 CVE-2021-21574。此外,,戴爾也發(fā)布了BIOS固件更新,,順利解決了其余兩項漏洞。

  此外,,戴爾公司還設(shè)計出一套變通方案,,幫助無法立即安裝補(bǔ)丁的客戶及時禁用BIOSConnect與HTTPS啟動功能。

  Eclypsium研究人員們總結(jié)道,,“一旦成功突破設(shè)備BIOS,,攻擊者將獲得極高的設(shè)備控制權(quán)限。他們能夠控制主機(jī)加載操作系統(tǒng)的過程,,并通過禁用保護(hù)機(jī)制隱藏起自己的行動痕跡。有了這樣的基礎(chǔ),,攻擊者完全能夠在掌控設(shè)備最高權(quán)限的同時保持長期駐留,。”

 


微信圖片_20210517164139.jpg


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。