Erkennen Sie Schwachstellen zur Berechtigungseskalation (CVE-2021-21551) im Dell BIOS-Treiber
Inhaltsverzeichnis:
Dell Computer weltweit sind potenziell anfällig für Angriffe aufgrund von schwerwiegenden Schwachstellen, die bereits 2009 eingeführt wurden. Laut Experten betrifft eine Gruppe von fünf Problemen, die gemeinsam als CVE-2021-21551 verfolgt werden, den Dell DBUtil-Treiber und ermöglicht es Angreifern, Kernel-Mode-Rechte auf den betroffenen Maschinen zu erlangen. Obwohl CVE-2021-21551 seit mehr als einem Jahrzehnt im Treiber vorhanden ist, gibt es derzeit keine Hinweise auf eine Ausnutzung in freier Wildbahn.
CVE-2021-21551 Beschreibung
The Analyse von SentinelLabs zeigt, dass die Schwachstelle im dbutil_2_3.sys Modul des DBUtil liegt, das auf den meisten Dell-Rechnern mit Windows vorinstalliert ist. Der Treiber ist für Firmware-Upgrades zuständig, wird während des BIOS-Update-Prozesses auf das Gerät geladen und nach einem Systemneustart wieder entladen.
Ein einzelner CVE-2021-21551 deckt fünf Sicherheitslücken ab, die den Dell-Treiber betreffen. Zwei davon resultieren aus mangelnder Eingabevalidierung, zwei ergeben sich aus Speicherbeschädigungsfehlern und die letzte tritt aufgrund eines Anmeldeproblems auf, das eine Dienstverweigerung auslösen kann. Alle miteinander verbundenen Fehler führen zu einer Privilegienerweiterung auf den betroffenen Geräten und ermöglichen es Nicht-Admin-Benutzern, Malware mit Kernel-Mode-Rechten auszuführen. Dadurch erhält der bösartige Code uneingeschränkten Zugriff auf alle Hardwarekomponenten der Instanz.
Potenzielle Angriffsszenarien setzen die Ausnutzung der Schwachstellen voraus, um Sicherheitslösungen zu überwinden. Auch könnte ein Hacker innerhalb des Organisationsnetzwerks die Fehler nutzen, um lokale Privilegienerweiterungen zu erreichen und sich seitlich durch die Umgebung zu bewegen.
Obwohl CVE-2021-21551 Dell-Geräte bereits seit 12 Jahren betrifft, gibt es derzeit keine bestätigten Fakten über Cyberangriffe in freier Wildbahn.
Erkennung und Minderung
Sicherheitsprobleme wurden dem Anbieter Ende 2020 gemeldet, und kürzlich hat Dell eine Empfehlung herausgegeben, die Schritte zur Minderung zur Behebung der Fehler bereitstellt. Benutzern wird dringend empfohlen, die Patches so schnell wie möglich anzuwenden.
Um mögliche Ausnutzungsversuche zu erkennen und Ihre Unternehmensinfrastruktur zu schützen, können Sie eine Community-Sigma-Regel herunterladen, die von Florian Roth, SOC Prime’s Berater, dem Erfinder von Sigma und erfahrenem Threat Hunter, veröffentlicht wurde:
https://tdm.socprime.com/tdm/info/OYfI5pzUpIwZ/#sigma
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR: Carbon Black, Sentinel One
MITRE ATT&CK:
Taktiken: Privilegienerweiterung,
Techniken: Ausnutzung für Privilegienerweiterung (T1068)
Erhalten Sie ein kostenloses Abonnement für den Threat Detection Marketplace, eine branchenführende Plattform für Detection as Code, die Erkennungs-, Anreicherungs-, Integrations- und Automatisierungsalgorithmen bereitstellt, um Sicherheitsperformer zu unterstützen, während große Datenmengen, Logs und Cloud-Telemetrie in Cybersicherheitssignale übersetzt werden. Sie können kuratierten SOC-Inhalt direkt in die SIEM-, EDR-, NSM- und SOAR-Tools Ihrer Wahl streamen, um die Bedrohungserkennungsfähigkeiten zu verbessern. Möchten Sie eigene Detektionsinhalte erstellen? Nehmen Sie an unserem Threat Bounty Program teil und werden Sie für Ihren Beitrag belohnt!
