デルBIOSドライバーにおける特権昇格脆弱性（CVE-2021-21551）の検出

世界中のDellコンピュータは、2009年に導入された深刻な脆弱性により攻撃の危険にさらされる可能性があります。専門家によると、CVE-2021-21551として追跡されている一連の5つの問題がDell DBUtilドライバに影響を与え、攻撃者が影響を受けたマシンでカーネルモードの特権を取得することを可能にします。CVE-2021-21551は10年以上にわたってドライバに存在していましたが、現時点では、現実世界での悪用の証拠はありません。

CVE-2021-21551の説明

The 分析 SentinelLabsの報告によると、脆弱性は dbutil_2_3.sys のモジュールに存在し、これはWindowsを実行しているほとんどのDellマシンにプリインストールされています。このドライバはファームウェアのアップグレードを担当しており、BIOS更新プロセス中にデバイスに読み込まれ、システム再起動後にアンロードされます。

単一のCVE-2021-21551がDellのドライバに影響を与える5つのセキュリティホールをカバーしています。そのうちの2つは入力のバリデーション不足に起因し、2つはメモリ破損の不具合に由来し、最後の1つはサービス妨害を引き起こす可能性のあるログイン問題のために発生します。これらすべてのバグを組み合わせると、影響を受けたデバイス上で特権のエスカレーションが発生し、非管理者のアクターがカーネルモードの権限でマルウェアを実行することを可能にします。その結果、悪意のあるコードはインスタンス上のすべてのハードウェアコンポーネントへの無制限のアクセスを受け取ります。

潜在的な攻撃シナリオは、セキュリティソリューションを乗り越えるために脆弱性を悪用することを想定しています。また、組織のネットワーク内のハッカーが、ローカルでの特権昇格に到達し、環境内を横移動するためにこれらのバグを利用する可能性があります。

CVE-2021-21551は既にDellデバイスに12年間影響を及ぼしていますが、現時点での現実世界でのサイバー攻撃の確認された事実はありません。

検出と緩和

セキュリティ問題は2020年後半にベンダーに報告され、最近、Dellは アドバイザリ を発行し、バグに対処するための緩和策を提供しました。ユーザーはできるだけ早くパッチを適用するよう求められています。

可能性のある悪用の試行を検出し、貴社のインフラストラクチャを保護するために、以下のソースから提供されているコミュニティSigmaルールをダウンロードできます。 フロリアン・ロス、SOC Primeのアドバイザー、Sigmaの発明者、および経験豊富な脅威ハンター：

https://tdm.socprime.com/tdm/info/OYfI5pzUpIwZ/#sigma

このルールは次のプラットフォームに対応した翻訳があります： 

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye

EDR: Carbon Black, Sentinel One

MITRE ATT&CK: 

戦術: 権限昇格,

技術: 権限昇格のためのエクスプロイト (T1068)

業界をリードする Detection as CodeプラットフォームであるThreat Detection Marketplaceの無料購読を取得し、ビッグデータ、ログ、クラウドテレメトリをサイバーセキュリティ信号に変換する際にセキュリティ実行者を支援するために、検出、強化、統合、および自動化アルゴリズムを提供します。キュレーションされたSOCコンテンツを選択したSIEM、EDR、NSM、SOARツールに直接ストリームし、脅威検出能力を向上させます。自分自身の検出コンテンツを作成したいですか？私たちの脅威リワードプログラムに参加して、あなたの貢献に対して報酬を得てください！

プラットフォームに移動 脅威バウンティに参加