Detectar vulnerabilidades de escalada de privilegios (CVE-2021-21551) en el controlador BIOS de Dell
Tabla de contenidos:
Las computadoras Dell en todo el mundo son potencialmente vulnerables a ataques debido a fallos de alta gravedad introducidos en 2009. Según los expertos, un conjunto de cinco problemas rastreados juntos como CVE-2021-21551 afecta al controlador Dell DBUtil y permite a los adversarios obtener privilegios de modo núcleo en las máquinas afectadas. Aunque CVE-2021-21551 ha estado presente en el controlador durante más de una década, actualmente no hay evidencia de explotación en la naturaleza.
Descripción de CVE-2021-21551
The análisis de SentinelLabs revela que la vulnerabilidad reside en el dbutil_2_3.sys módulo del DBUtil, que viene preinstalado en la mayoría de las máquinas Dell que ejecutan Windows. El controlador es responsable de las actualizaciones de firmware, cargándose en el dispositivo durante el proceso de actualización del BIOS y luego descargándose después del reinicio del sistema.
Un solo CVE-2021-21551 cubre cinco vulnerabilidades de seguridad que afectan al controlador de Dell. Dos de ellas provienen de la falta de validación de entradas, dos derivan de fallos de corrupción de memoria y la última ocurre debido a un problema de inicio de sesión que puede desencadenar una denegación de servicio. Todos los errores encadenados juntos resultan en una escalada de privilegios en los dispositivos afectados y permiten a actores no administrativos ejecutar malware con derechos de modo núcleo. Como resultado, el código malicioso recibe acceso irrestricto a todos los componentes de hardware en la instancia.
Los posibles escenarios de ataque presuponen la explotación de las fallas para superar soluciones de seguridad. Además, un hacker dentro de la red organizacional podría usar los errores para lograr una elevación local de privilegios y moverse lateralmente a través del entorno.
Aunque CVE-2021-21551 ha estado afectando a dispositivos Dell durante 12 años, actualmente, no hay hechos confirmados de ciberataques en la naturaleza.
Detección y Mitigación
Los problemas de seguridad fueron reportados al proveedor a finales de 2020, y recientemente, Dell ha publicado un aviso que proporciona pasos de mitigación para abordar los errores. Se insta a los usuarios a aplicar los parches lo antes posible.
Para detectar posibles intentos de explotación y proteger la infraestructura de su empresa, puede descargar una regla Sigma de la comunidad lanzada por Florian Roth, asesor de SOC Prime, inventor de Sigma y cazador de amenazas experimentado:
https://tdm.socprime.com/tdm/info/OYfI5pzUpIwZ/#sigma
La regla tiene traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR: Carbon Black, Sentinel One
MITRE ATT&CK:
Tácticas: Escalada de Privilegios,
Técnicas: Explotación para Escalada de Privilegios (T1068)
Obtén una suscripción gratuita a Threat Detection Marketplace, una plataforma líder de «Detección como Código» que proporciona algoritmos de detección, enriquecimiento, integración y automatización para apoyar a los profesionales de la seguridad mientras traducen grandes datos, registros y telemetría en la nube en señales de ciberseguridad. Puedes transmitir contenido SOC curado directamente a las herramientas SIEM, EDR, NSM y SOAR de tu elección, mejorando las capacidades de detección de amenazas. ¿Quieres crear tu propio contenido de detección? ¡Únete a nuestro Programa de Recompensas de Amenazas y recibe recompensas por tu contribución! Detection as Code platform that provides detection, enrichment, integration, and automation algorithms to support security performers while translating big data, logs, and cloud telemetry into cybersecurity signals. You can stream curated SOC content directly to the SIEM, EDR, NSM, and SOAR tools of your choice, boosting threat detection capabilities. Want to craft your own detection content? Join our Threat Bounty Program and get rewarded for your input!
