3000万台戴尔设备面临着远程BIOS攻击、RCE攻击风险|bios|固件|戴尔|操作系统|服务器

研究人员说，这一系列的高危漏洞可以让远程攻击者在戴尔设备的预启动环境中获得任意代码执行的权限。据估计，这些漏洞影响到了全球3000万个戴尔终端设备。

根据Eclypsium的分析，这些漏洞影响了129个型号的笔记本电脑、平板电脑和台式机，包括企业设备和消费者设备，这些设备都受安全启动机制的保护。安全启动是一个安全标准，旨在确保设备启动时只使用设备原始设备制造商（OEM）信任的软件，防止被恶意接管。

Eclypsium公司的研究人员周四说，这些漏洞允许有特权的网络黑客绕过安全启动保护，控制设备的启动过程，突破操作系统和更高层的安全控制。它们的累计CVSS评分为8.3分（满分10分）。

具体来说，这些漏洞影响了Dell SupportAssist（一种技术支持解决方案，预装在大多数基于Windows的戴尔机器上）中的BIOSConnect功能。BIOSConnect用于执行远程操作系统中的恢复或更新固件的功能。

研究人员在一份分析报告中指出："各种类型的技术供应商正越来越多地实施云端更新程序，这样可以确保他们的客户尽可能使他们的固件处于最新版本。虽然这是一个非常优秀的功能，但如果这些程序中出现任何漏洞，如我们在戴尔的BIOSConnect中看到的那些漏洞，都会产生严重的后果。"

报告指出，这些特定的漏洞允许攻击者远程利用主机的UEFI固件，并获得该设备上的最高控制权。

报告总结说："这种远程攻击和高权限相结合进行利用，很可能使远程更新功能在未来成为攻击者的最青睐的目标。”

第一个漏洞（CVE-2021-21571）是针对远程代码执行（RCE）漏洞进行利用的开端。

当BIOSConnect试图连接到戴尔HTTP后端的服务器执行远程更新或恢复时，它使系统的BIOS（在启动过程中用于执行硬件初始化的固件）与戴尔后端服务联系。然后，它会协调一个更新或恢复过程。

Eclypsium研究人员说，漏洞在于连接BIOS和后端服务器的TLS连接会接受任何有效的通配符证书。因此，那些拥有网络特权的攻击者可以拦截该连接，冒充戴尔官方并将攻击者控制的内容送回到受害设备上。

根据分析：“验证dell.com证书的过程是首先从硬编码服务器8.8.8.8检索DNS记录，然后建立一个连接到戴尔的下载网站的会话，然而，BIOS中BIOSConnect功能中包含的任何一个内置证书机构所颁发的有效通配符证书都满足安全连接的条件，BIOSConnect将继续检索相关文件。BIOS中的CA根证书来自于Mozilla的根证书文件（certdata.txt）。"

研究人员说，一旦第一个 "守门员 "漏洞被利用，将恶意代码传回到了受害机器内，攻击者就可以选择三个不同的独立溢出漏洞（CVE-2021-21572、CVE-2021-21573、CVE-2021-21574）进行攻击，其中任何一个都可以在目标设备上获得预启动RCE权限。

据Eclypsium公司称，其中有两个漏洞影响到了操作系统的恢复过程，而第三个漏洞影响到了固件的更新过程，目前该公司还没有公布进一步的技术细节。

研究人员说，任何攻击情况都需要攻击者重定向受害者的流量，比如通过中间机器（MITM）攻击，但是这实现起来并不困难。

根据该报告，中间人攻击对于高级攻击者来说是一个相对较低的门槛，诸如ARP欺骗和DNS缓存中毒等技术都是众所周知的，而且还很容易进行自动化攻击，此外，企业VPN和其他网络设备都已经成为了攻击者的首要目标，这些设备的漏洞可以让攻击者重定向流量。最后，在家工作的终端用户越来越依赖SOHO网络设备。这些类型的消费级网络设备中存在相当多的漏洞，并且已经被犯罪分子在攻击活动中广泛的利用"。

成功破坏设备的BIOS将使攻击者在控制设备的最高权限的同时还能建立持久化的后门。报告指出，这是因为他们能够控制加载主机操作系统的过程，并且禁用保护措施，这样可以防止被发现。

Eclypsium研究人员说："这种攻击能够使攻击者获得对设备几乎所有的控制权限，这样的攻击成果对于攻击者来说，是非常诱人的。”