Detectar Vulnerabilidades de Escalonamento de Privilégios (CVE-2021-21551) no Driver de BIOS da Dell
Índice:
Computadores Dell em todo o mundo estão potencialmente vulneráveis a ataques devido a falhas de alta gravidade introduzidas em 2009. De acordo com especialistas, um conjunto de cinco problemas rastreados em conjunto como CVE-2021-21551 afeta o driver Dell DBUtil e permite que adversários obtenham privilégios de modo kernel nas máquinas afetadas. Embora o CVE-2021-21551 esteja presente no driver há mais de uma década, atualmente, não há evidências de exploração em campo.
Descrição do CVE-2021-21551
The análise de SentinelLabs revela que a vulnerabilidade reside no dbutil_2_3.sys módulo do DBUtil, que vem pré-instalado na maioria das máquinas Dell executando Windows. O driver é responsável por atualizações de firmware, sendo carregado no dispositivo durante o processo de atualização do BIOS e depois descarregado após a reinicialização do sistema.
Um único CVE-2021-21551 cobre cinco falhas de segurança que afetam o driver da Dell. Duas delas decorrem da falta de validação de entrada, duas derivam de falhas de corrupção de memória, e a última ocorre devido a um problema de login capaz de acionar uma negação de serviço. Todos os bugs encadeados juntos resultam em uma elevação de privilégio nos dispositivos afetados e permitem que atores não administradores executem malware com direitos de modo kernel. Como resultado, o código malicioso recebe acesso irrestrito a todos os componentes de hardware da instância.
Cenários potenciais de ataque presumem a exploração das falhas para superar soluções de segurança. Além disso, um hacker dentro da rede organizacional pode usar os bugs para alcançar a elevação local de privilégios e se mover lateralmente pelo ambiente.
Embora o CVE-2021-21551 já esteja afetando dispositivos Dell há 12 anos, atualmente, não há fatos confirmados de ataques cibernéticos em campo.
Detecção e Mitigação
Os problemas de segurança foram relatados ao fornecedor no final de 2020 e, recentemente, a Dell lançou um aviso que fornece etapas de mitigação para abordar os bugs. Os usuários são instados a aplicar os patches o mais rápido possível.
Para detectar as possíveis tentativas de exploração e proteger a infraestrutura de sua empresa, você pode baixar uma regra Sigma da comunidade lançada por Florian Roth, consultor da SOC Prime, inventor do Sigma e caçador de ameaças experiente:
https://tdm.socprime.com/tdm/info/OYfI5pzUpIwZ/#sigma
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye
EDR: Carbon Black, Sentinel One
MITRE ATT&CK:
Táticas: Escalação de Privilégios,
Técnicas: Exploração para Escalação de Privilégios (T1068)
Obtenha uma assinatura gratuita do Threat Detection Marketplace, uma plataforma líder do setor de Detecção Como Código que fornece algoritmos de detecção, enriquecimento, integração e automação para apoiar os profissionais de segurança ao traduzir grandes dados, registros e telemetria de nuvem em sinais de cibersegurança. Você pode transmitir conteúdo SOC selecionado diretamente para as ferramentas SIEM, EDR, NSM e SOAR de sua escolha, aumentando as capacidades de detecção de ameaças. Deseja criar seu próprio conteúdo de detecção? Junte-se ao nosso Programa de Recompensas por Ameaças e seja recompensado por sua contribuição! Detection as Code platform that provides detection, enrichment, integration, and automation algorithms to support security performers while translating big data, logs, and cloud telemetry into cybersecurity signals. You can stream curated SOC content directly to the SIEM, EDR, NSM, and SOAR tools of your choice, boosting threat detection capabilities. Want to craft your own detection content? Join our Threat Bounty Program and get rewarded for your input!
