Rileva le Vulnerabilità di Escalation Privilegi (CVE-2021-21551) nel Driver BIOS di Dell
Indice:
I computer Dell in tutto il mondo sono potenzialmente vulnerabili agli attacchi a causa di gravi falle di sicurezza introdotte nel 2009. Secondo gli esperti, un insieme di cinque problemi tracciati insieme come CVE-2021-21551 colpisce il driver Dell DBUtil e consente agli avversari di ottenere privilegi in modalità kernel sui computer colpiti. Sebbene il CVE-2021-21551 sia presente nel driver da più di un decennio, attualmente non ci sono prove di sfruttamenti attivi in natura.
Descrizione di CVE-2021-21551
The l’analisi di SentinelLabs rivela che la vulnerabilità risiede nel dbutil_2_3.sys modulo del DBUtil, che viene preinstallato sulla maggior parte dei computer Dell con Windows. Il driver è responsabile per gli aggiornamenti del firmware, viene caricato sul dispositivo durante il processo di aggiornamento del BIOS e quindi scaricato dopo il riavvio del sistema.
Un singolo CVE-2021-21551 copre cinque falle di sicurezza che colpiscono il driver di Dell. Due derivano dalla mancanza di verifica degli input, due da errori di corruzione della memoria, e l’ultima si verifica a causa di un problema di autenticazione che può innescare un denial-of-service. Tutti i bug concatenati risultano in un aumento di privilegi sui dispositivi colpiti e consentono ad attori non amministratori di eseguire malware con diritti in modalità kernel. Di conseguenza, il codice malevolo riceve un accesso illimitato a tutti i componenti hardware sull’istanza.
Gli scenari di potenziale attacco presuppongono lo sfruttamento delle vulnerabilità per superare le soluzioni di sicurezza. Inoltre, un hacker all’interno della rete organizzativa potrebbe usare i bug per ottenere un’elevazione locale dei privilegi e muoversi lateralmente nell’ambiente.
Sebbene il CVE-2021-21551 stia colpendo i dispositivi Dell già da 12 anni, attualmente non ci sono fatti confermati di cyber-attacchi in natura.
Rilevazione e Mitigazione
I problemi di sicurezza sono stati segnalati al fornitore alla fine del 2020 e recentemente Dell ha rilasciato un avviso che fornisce passaggi di mitigazione per affrontare i bug. Si invita gli utenti ad applicare le patch il prima possibile.
Per rilevare possibili tentativi di sfruttamento e proteggere l’infrastruttura della tua azienda, puoi scaricare una regola Sigma della community rilasciata da Florian Roth, consulente di SOC Prime, inventore di Sigma e cacciatore di minacce esperto:
https://tdm.socprime.com/tdm/info/OYfI5pzUpIwZ/#sigma
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR: Carbon Black, Sentinel One
MITRE ATT&CK:
Tattiche: Escalation dei Privilegi,
Tecniche: Sfruttamento per Escalation dei Privilegi (T1068)
Ottieni un abbonamento gratuito al Threat Detection Marketplace, una piattaforma leader del settore Evaluazione del Rischio come Codice che fornisce algoritmi di rilevamento, arricchimento, integrazione e automazione per supportare le prestazioni di sicurezza traducendo big data, log e telemetria cloud in segnali di cybersecurity. Puoi trasmettere contenuti SOC curati direttamente agli strumenti SIEM, EDR, NSM e SOAR di tua scelta, potenziando le capacità di rilevamento delle minacce. Vuoi creare i tuoi contenuti di rilevamento? Partecipa al nostro Threat Bounty Program e ottieni ricompense per il tuo contributo! Detection as Code platform that provides detection, enrichment, integration, and automation algorithms to support security performers while translating big data, logs, and cloud telemetry into cybersecurity signals. You can stream curated SOC content directly to the SIEM, EDR, NSM, and SOAR tools of your choice, boosting threat detection capabilities. Want to craft your own detection content? Join our Threat Bounty Program and get rewarded for your input!
