Le fabricant de PC Dell a publié une mise à jour pour corriger plusieurs vulnérabilités critiques d’escalade de privilèges qui n’ont pas été détectées depuis 2009, permettant potentiellement aux attaquants d’obtenir des privilèges en mode noyau et de provoquer un déni de service.
Les problèmes, signalés à Dell par les chercheurs de SentinelOne le 1er décembre 2020, résident dans un pilote de mise à jour du micrologiciel nommé «dbutil_2_3.sys» préinstallé sur ses appareils. Des centaines de millions d’ordinateurs de bureau, d’ordinateurs portables, d’ordinateurs portables et de tablettes fabriqués par l’entreprise seraient vulnérables.
«Le pilote Dell dbutil_2_3.sys contient une vulnérabilité de contrôle d’accès insuffisante qui peut entraîner une élévation des privilèges, un déni de service ou la divulgation d’informations. Un accès utilisateur authentifié local est requis,» Dell mentionné dans un avis.
Les cinq défauts distincts ont reçu l’identifiant CVE CVE-2021-21551 avec un score CVSS de 8,8. Une ventilation des lacunes est la suivante –
- CVE-2021-21551: élévation locale des privilèges n ° 1 – corruption de la mémoire
- CVE-2021-21551: élévation locale des privilèges n ° 2 – corruption de la mémoire
- CVE-2021-21551: Élévation locale des privilèges n ° 3 – Manque de validation d’entrée
- CVE-2021-21551: Élévation locale des privilèges n ° 4 – Manque de validation d’entrée
- CVE-2021-21551: Déni de service – Problème de logique de code
«Les failles de gravité élevée pourraient permettre à n’importe quel utilisateur de l’ordinateur, même sans privilèges, d’élever ses privilèges et d’exécuter du code en mode noyau,» Kasif Dekel, chercheur senior en sécurité chez SentinelOne c’est noté dans une analyse mardi. « Parmi les abus évidents de ces vulnérabilités, il y a le fait qu’elles pourraient être utilisées pour contourner les produits de sécurité. »
Puisqu’il s’agit de bogues d’escalade de privilèges locaux, il est peu probable qu’ils soient exploités à distance sur Internet. Pour mener une attaque, un adversaire devra avoir accès à un compte non administrateur sur un système vulnérable, à la suite de quoi la vulnérabilité du pilote peut être abusée pour obtenir une élévation locale de privilèges. Armé de cet accès, l’attaquant peut alors exploiter d’autres techniques pour exécuter du code arbitraire et se déplacer latéralement sur le réseau d’une organisation.
Bien qu’aucune preuve d’abus dans la nature n’ait été détectée, SentinelOne a annoncé son intention de publier le code de preuve de concept (PoC) le 1er juin 2021, donnant ainsi aux clients Dell suffisamment de temps pour remédier à la vulnérabilité.
La divulgation de SentinelOne est la troisième fois que le même problème est signalé à Dell au cours des deux dernières années, selon à l’architecte en chef de Crowdtrike, Alex Ionescu, d’abord par la société de cybersécurité basée à Sunnyvale en 2019 et à nouveau par IOActive. Dell a également crédité Scott Noone de OSR Open Systems Resources pour avoir signalé la vulnérabilité.