文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

戴尔又现高危漏洞,近3000万台电脑面临被远程控制风险

2024-12-03 03:32

关注

研究人员表示,攻击者可以利用这些漏洞在预启动环境中远程执行代码,获得设备的控制权,还可以颠覆操作系统。

[[407440]]

近3000万台设备受影响

129款型号的戴尔设备将受此影响,包括个人笔记本电脑、商务笔记本电脑、台式机和平板电脑,共计约3000万台。

BIOSConnect是戴尔SupportAssit的一部分,后者是一种技术支持解决方案,预装在大多数基于Windows的戴尔设备上。它具备系统恢复和固件更新功能,通过HTTPS连接到戴尔的后台服务器,下载操作系统镜像,帮助用户在本地磁盘镜像损坏、被替换或不存在时恢复其系统。

研究人员在分析报告中指出,这四个漏洞累计严重程度为8.3级。这些特定的漏洞允许攻击者远程利用主机的UEFI固件,并获得该设备上的最高控制权。

第一个漏洞(CVE-2021-21571)是针对远程代码执行漏洞进行利用的开端。一旦第一个漏洞被利用,将恶意代码传回到了受害机器内,攻击者就可以选择三个不同的独立溢出漏洞(CVE-2021-21572、CVE-2021-21573、CVE-2021-21574)进行攻击,其中任何一个都可以在目标设备上获得预启动RCE权限。

 

研究人员还表示,任何攻击情况都需要攻击者重定向受害者的流量,比如通过中间机器(MITM)攻击。

Eclypsium在3月3日向戴尔报告了这些问题,随后戴尔在5月28日推出了服务器端更新,以修补CVE-2021-21573和CVE-2021-21574。戴尔还发布了BIOS客户端固件更新,以解决其余两个漏洞。

此外,戴尔还发布了解决方法,为无法立即应用补丁的客户禁用BIOSConnect和HTTPS启动功能。

戴尔软件存在严重缺陷

这不是戴尔SupportAssist软件中第一次发现安全漏洞。

2019年5月,戴尔修补了一个高危的SupportAssist远程代码执行漏洞,该漏洞由不适当的原始验证漏洞导致,安全研究员Bill Demirkapi在2018年报告了该漏洞。

安全研究员Tom Forbes在2015年的戴尔系统检测Dell System Detect软件中发现了类似的RCE漏洞,攻击者可以在没有用户交互的情况下,触发有漏洞的程序下载并执行任意文件。

2020年2月,SupportAssist再次发布补丁,以解决DLL搜索顺序劫持bug导致的安全漏洞。

上个月戴尔还解决了一个可能影响数千万台设备的驱动程序漏洞,该漏洞存在长达12年之久,可以使非管理员用户升级到内核特权。

 

来源:FreeBuf内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯