Détecter les vulnérabilités d’élévation de privilèges (CVE-2021-21551) dans le pilote BIOS Dell
Table des matières :
Les ordinateurs Dell dans le monde entier sont potentiellement vulnérables aux attaques en raison de failles de haute gravité introduites en 2009. Selon les experts, un ensemble de cinq problèmes suivis ensemble sous la référence CVE-2021-21551 affecte le pilote Dell DBUtil et permet aux adversaires d’obtenir des privilèges de mode noyau sur les machines concernées. Bien que CVE-2021-21551 soit présent dans le pilote depuis plus d’une décennie, il n’existe actuellement aucune preuve d’exploitation dans la nature.
Description de CVE-2021-21551
The analyse de SentinelLabs révèle que la vulnérabilité réside dans le dbutil_2_3.sys module du DBUtil, qui est préinstallé sur la majorité des machines Dell exécutant Windows. Le pilote est responsable des mises à niveau du firmware, étant chargé sur l’appareil pendant le processus de mise à jour du BIOS, puis déchargé après le redémarrage du système.
Un seul CVE-2021-21551 couvre cinq failles de sécurité affectant le pilote de Dell. Deux d’entre elles proviennent d’une absence de validation des entrées, deux découlent de défauts de corruption de mémoire, et la dernière se produit en raison d’un problème de connexion pouvant déclencher un déni de service. Tous les bugs enchaînés ensemble aboutissent à une élévation de privilèges sur les appareils affectés et permettent à des acteurs non-administrateurs d’exécuter un logiciel malveillant avec des droits de mode noyau. En conséquence, le code malveillant reçoit un accès illimité à tous les composants matériels de l’instance.
Les scénarios d’attaque potentiels présument l’exploitation des failles pour contourner les solutions de sécurité. De plus, un pirate à l’intérieur du réseau organisationnel pourrait utiliser les bugs pour atteindre une élévation locale des privilèges et se déplacer latéralement à travers l’environnement.
Bien que CVE-2021-21551 affecte déjà les appareils Dell depuis 12 ans, il n’y a actuellement aucun fait confirmé d’attaques cybernétiques dans la nature.
Détection et Atténuation
Les problèmes de sécurité ont été signalés au fournisseur à la fin de 2020, et récemment, Dell a publié un avis qui fournit des étapes d’atténuation pour résoudre les bugs. Les utilisateurs sont invités à appliquer les correctifs dès que possible.
Pour détecter d’éventuelles tentatives d’exploitation et protéger l’infrastructure de votre entreprise, vous pouvez télécharger une règle Sigma communautaire publiée par Florian Roth, conseiller de SOC Prime, inventeur de Sigma et chasseur de menaces expérimenté :
https://tdm.socprime.com/tdm/info/OYfI5pzUpIwZ/#sigma
La règle a des traductions pour les plateformes suivantes :
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR : Carbon Black, Sentinel One
MITRE ATT&CK :
Tactiques : Élévation de privilèges,
Techniques : Exploitation pour Élément de Privilège (T1068)
Obtenez un abonnement gratuit à Threat Detection Marketplace, une plateforme de Detection as Code qui fournit des algorithmes de détection, d’enrichissement, d’intégration et d’automatisation pour soutenir les opérateurs de sécurité tout en traduisant les big data, les journaux et la télémétrie cloud en signaux de cybersécurité. Vous pouvez diffuser du contenu SOC sélectionné directement vers les outils SIEM, EDR, NSM et SOAR de votre choix, améliorant ainsi les capacités de détection des menaces. Vous souhaitez créer votre propre contenu de détection ? Rejoignez notre Threat Bounty Program et soyez récompensé pour votre contribution !
