Dell : Des failles de sécurité sur BIOSConnect affectent des millions d’appareils



Dell : Des failles de sécurité sur BIOSConnect affectent des millions d’appareils

Un ensemble de failles de sécurité ont été découvertes sur de nombreux appareils Dell. Combinées ensemble, elles pourraient conduire un attaquant à prendre le contrôle d’un appareil et exécuter du code arbitraire dans le BIOS, entre autres.


Des chercheurs ont découvert un ensemble de vulnérabilités qui peuvent être enchaînées ensemble pour réaliser des attaques par exécution de code sur les machines Dell.

Jeudi, Eclypsium indiquait que les vulnérabilités, qui représentent ensemble une chaîne critique avec un score CVSS cumulé de 8,3, ont été découvertes dans la fonction BIOSConnect de Dell SupportAssist.

Au total, les failles de sécurité pourraient être exploitées pour usurper l’identité de Dell.com et attaquer le niveau BIOS/UEFI dans un total de 128 modèles d’ordinateurs portables, tablettes et modèles de bureau Dell, notamment ceux dont le démarrage sécurisé est activé, et les PC à cœur sécurisé. Ces modèles sont présents chez des millions d’utilisateurs particuliers et professionnels.


Contrôler le démarrage et la sécurité d’un appareil

Selon Eclypsium, « une telle attaque permettrait aux adversaires de contrôler le processus de démarrage de l’appareil et de subvertir le système d’exploitation et les contrôles de sécurité de niveau supérieur ».

Dell SupportAssist, généralement préinstallé sur les appareils Dell fonctionnant sous Windows, est utilisé pour gérer les fonctions d’assistance, et notamment le dépannage et la récupération. La fonction BIOSConnect peut être utilisée pour récupérer un système d’exploitation, en cas de corruption, ainsi que pour mettre à jour le firmware.

Pour ce faire, la fonction se connecte à l’infrastructure cloud de Dell, pour transmettre le code demandé à l’appareil de l’utilisateur. Les chercheurs ont découvert quatre vulnérabilités dans ce processus, qui permettraient « à un attaquant réseau privilégié d’obtenir une exécution de code arbitraire dans le BIOS des machines vulnérables »

Exécution de code arbitraire dans le BIOS

Le premier problème est que, lorsque BIOSConnect tente de se connecter au serveur HTTP dorsal de Dell, tout certificat de type wildcard valide est accepté, ce qui « permettrait à un attaquant de se faire passer pour Dell et de transmettre du contenu contrôlé par lui-même à l’appareil de la victime ». En outre, l’équipe a trouvé certaines configurations HTTPS Boot qui utilisent le même code de vérification sous-jacent, ce qui les rend potentiellement exploitables.

Trois vulnérabilités indépendantes, décrites comme des bugs de débordement, ont également été découvertes par les chercheurs. Deux d’entre elles affectent le processus de récupération du système d’exploitation, tandis que la troisième est présente dans le mécanisme de mise à jour du firmware. Dans chaque cas, un attaquant pourrait effectuer une exécution de code arbitraire dans le BIOS.

Toutefois, les détails techniques de ces vulnérabilités ne seront pas divulgués avant une prochaine présentation DEFCON en août. « Dans le scénario d’une attaque, l’attaquant serait capable de rediriger le trafic de la victime, par exemple via une attaque de type Machine-in-the-Middle (MITM) », indiquent les chercheurs. « Une compromission réussie du BIOS d’un appareil donnerait à un attaquant un haut degré de contrôle sur un appareil. Il pourrait contrôler le processus de chargement du système d’exploitation hôte et désactiver les protections afin de ne pas être détecté. »

Des correctifs disponibles à appliquer dès maintenant

Eclypsium a terminé son enquête sur le logiciel de Dell le 2 mars. L’entreprise a informé Dell PSIRT dès le lendemain, et cette dernière a accusé réception du rapport. Le fournisseur a depuis publié un avis de sécurité et a programmé des mises à jour du BIOS/UEFI pour les systèmes concernés.

Si vous disposez d’un appareil Dell, vous devez accepter les mises à jour du BIOS/UEFI dès qu’elles sont disponibles. Les correctifs devaient être publiés hier le 24 juin. Le fournisseur propose également des options d’atténuation.

« Dell a remédié à de multiples vulnérabilités pour les fonctions Dell BIOSConnect et HTTPS Boot disponibles sur certaines plateformes Dell Client », indique Dell à ZDNet. « Les fonctionnalités seront automatiquement mises à jour si les clients ont activé les mises à jour automatiques Dell. Nous encourageons les clients à consulter l’avis de sécurité de Dell (DSA-2021-106) pour plus d’informations, et si les mises à jour automatiques ne sont pas activées, à suivre les étapes de remédiation dès que possible. Merci aux chercheurs d’Eclypsium d’avoir travaillé directement avec nous pour résoudre ce problème. »

Pour plus d’information : https://www.zdnet.fr/actualites/dell-des-failles-de-securite-sur-biosconnect-affectent-des-millions-d-appareils-39925177.htm

Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram

Catégories :

Company

Consulting

Formation

Support

Blog

Solutions

Société

À propos

Carrières

Partenariats

Partenaire

Symantec

Fortinet

Rapid7

BeyondTrust


UNIDEES®

Conditions d’utilisation

Déclaration de confidentialité

Déclaration de sécurité