Dell BIOS 드라이버에서 권한 상승 취약점 (CVE-2021-21551) 탐지

전 세계의 Dell 컴퓨터는 2009년에 도입된 높은 심각도의 결함으로 인해 잠재적으로 공격에 취약할 수 있습니다. 전문가들에 따르면, CVE-2021-21551로 추적되는 다섯 가지 문제 세트가 Dell DBUtil 드라이버에 영향을 미치며, 공격자들이 영향을 받는 기기에서 커널 모드 권한을 획득할 수 있게 합니다. CVE-2021-21551은 이 드라이버에 10년 이상 존재했지만 현재로서는 야생에서 착취된 증거는 없습니다.

CVE-2021-21551 설명

The 분석 SentinelLabs에 의하면 취약점은 dbutil_2_3.sys DBUtil의 모듈에 존재하는데, 이는 대다수의 Windows를 실행하는 Dell 기기에 사전 설치되어 있습니다. 이 드라이버는 펌웨어 업그레이드를 담당하며 BIOS 업데이트 과정에서 장치에 로드되고, 시스템 재부팅 후 언로드됩니다.

단일 CVE-2021-21551은 Dell의 드라이버에 영향을 주는 다섯 가지 보안 구멍을 포함합니다. 그 중 두 개는 입력 검증의 부족에서 발생하고, 두 개는 메모리 손상 결함에서 발생하며, 마지막 하나는 서비스 거부를 유발할 수 있는 로그인 문제 때문에 발생합니다. 이 모든 버그가 함께 연결되면, 영향을 받는 기기에서 권한 상승이 일어나고, 비관리자 사용자가 커널 모드 권한으로 악성 코드를 실행할 수 있게 합니다. 그 결과, 악성 코드는 인스턴스의 모든 하드웨어 구성요소에 무제한 액세스를 받게 됩니다.

잠재적 공격 시나리오는 보안 솔루션을 극복하기 위해 결함을 악용하는 것을 가정합니다. 또한, 조직 네트워크 내부의 해커는 로컬 권한 상승에 도달하고 환경을 가로질러 횡단하기 위해 버그를 사용할 수 있습니다.

CVE-2021-21551이 이미 Dell 장치를 12년 동안 영향을 미쳤음에도 불구하고, 현재로서는 야생에서의 사이버 공격에 대한 확인된 사실은 없습니다.

탐지 및 완화

보안 문제는 2020년 말에 공급업체에 보고되었으며, 최근 Dell은 자문 을 발표하여 버그에 대한 완화 단계를 제공합니다. 사용자는 가능한 한 빨리 패치를 적용해야 합니다.

잠재적 착취 시도를 탐지하고 회사 인프라를 보호하기 위해, 커뮤니티 Sigma 규칙을 Florian Roth, SOC Prime의 고문, Sigma의 발명가 및 숙련된 위협 사냥꾼이 출시한 것을 다운로드할 수 있습니다.

https://tdm.socprime.com/tdm/info/OYfI5pzUpIwZ/#sigma

이 규칙은 다음 플랫폼으로 번역되었습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye

EDR: Carbon Black, Sentinel One

MITRE ATT&CK:

전술: 권한 상승,

기술: 권한 상승을 위한 착취 (T1068)

업계 선도적인 Detection as Code 플랫폼인 Threat Detection Marketplace에 무료로 가입하세요. 이 플랫폼은 감지, 보강, 통합 및 자동화 알고리즘을 제공하여 보안 담당자가 대용량 데이터, 로그 및 클라우드 원격 측정을 사이버보안 신호로 변환하는 것을 지원합니다. 당신이 선택한 SIEM, EDR, NSM 및 SOAR 도구로 SOC 콘텐츠를 직접 스트리밍하여 위협 탐지 기능을 향상시킬 수 있습니다. 고유의 탐지 콘텐츠를 작성하고 싶으신가요? Threat Bounty 프로그램에 참여하여 귀하의 기여에 대한 보상을 받으세요!

플랫폼으로 이동 Threat Bounty에 가입