Sicherheitslücken: Vorinstallierte Dell-Software gefährdet 30 Millionen Rechner

Die Bios-Update-Funktion der vorinstallierten Software Supportassist von Dell kann missbraucht werden, um Schadcode aus der Ferne auszuführen.

Artikel veröffentlicht am ,
Ob dieses Dell-Notebook ebenfalls betroffen ist?
Ob dieses Dell-Notebook ebenfalls betroffen ist? (Bild: Its me Pravin/Unsplash)

Mehrere Sicherheitslücken in der häufig auf Dell Rechnern vorinstallierten Software Supportassist ermöglichen unter anderem eine Ausführung von Schadcode aus der Ferne (Remote Code Execution, RCE). Entdeckt hat die Sicherheitslücken eine Forschergruppe der Sicherheitsfirma Eclypsium.

Stellenmarkt
  1. IT-Systemkoordinator*in (m/w/d) SharePoint / Jira-Produkte
    Hochschule RheinMain, Wiesbaden
  2. Teamleiter Chassis Controls (m/w / divers)
    Continental AG, Frankfurt
Detailsuche

Betroffen sind demnach 129 Modelle und insgesamt rund 30 Millionen Geräte von Dell. Eine Liste der betroffenen Geräte und Updates stehen zur Verfügung.

Die Sicherheitslücken stecken in der BIOSConnect-Funktion der Software Dell Supportassist. Mit ihr können Nutzer die Firmware ihres Gerätes aktualisieren oder eine Remote-Betriebssystemwiederherstellung durchführen. In beiden Fällen verbindet sich die Software mit den Backend-Services von Dell.

Dabei setze Dell allerdings auf eine unsichere TLS-Verbindung (CVE-2021-21571), bei der jedes gültige Wildcard-Zertifikat akzeptiert werde, berichtet die Forschergruppe. Entsprechend könne sich ein Angreifer mit einer privilegierten Netzwerkposition als Dell ausgeben und vom Angreifer kontrollierte Inhalte an das Gerät ausliefern.

Drei weitere Sicherheitslücken im Dell Supportassist

Golem Karrierewelt
  1. Blender Grundkurs: virtueller Drei-Tage-Workshop
    06.-08.09.2022, Virtuell
  2. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    18./19.07.2022, virtuell
Weitere IT-Trainings

"Der Prozess der Überprüfung des Zertifikats für dell.com erfolgt, indem zuerst der DNS-Eintrag von dem hart kodierten Server 8.8.8.8 (Google) abgerufen wird und dann eine Verbindung zu https://downloads.dell.com hergestellt wird", schreibt die Forschergruppe. Allerdings erfülle jedes gültige Wildcard-Zertifikat, das von einer der integrierten CAs in der BIOSConnect-Funktion im Bios ausgestellt wurde, die Bedingung für eine sichere Verbindung. Die integrierten CAs stammen von Mozillas Root-Zertifikats-Datei.

Sei diese erfüllt, fahre BIOSConnect fort und rufe die relevanten Dateien ab. Sofern diese von Angreifern kontrolliert werde und UEFI-Secure-Boot deaktiviert sei, könne die Schwachstelle zur Ausführung von Schadcode in der UEFI/Pre-Boot-Umgebung auf dem Client-Gerät genutzt werden, erklärt die Forschergruppe. Damit handelt es sich letztlich um einen Machine-in-the-Middle-Angriff (MITM).

Zudem konnten die Forscher drei Überlauf-Sicherheitslücken (CVE-2021-21572, CVE-2021-21573, CVE-2021-21574) im Bios-Update sowie der Remote-Betriebssystemwiederherstellung entdecken. Details zu den drei unabhängig von einander ausnutzbaren Sicherheitslücken will Eclypsium Anfang August auf der Konferenz Defcon vorstellen.

Betroffene sollten umgehend die Patches von Dell einspielen. Eclypsium empfiehlt, das Update nicht über eine verwundbare BIOSConnect-Funktion des Supportassist durchzuführen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
US-Streaming
Abonnenten immer unzufriedener mit Netflix

Wenn Netflix-Abonnenten das Abo kündigen, wird vor allem der hohe Preis sowie ein schlechtes Preis-Leistungs-Verhältnis als Grund dafür genannt.

US-Streaming: Abonnenten immer unzufriedener mit Netflix
Artikel
  1. Elektro-SUV: Drako Dragon soll Teslas Model X Plaid deutlich übertreffen
    Elektro-SUV
    Drako Dragon soll Teslas Model X Plaid deutlich übertreffen

    Das Elektroauto Drako Dragon soll mit seinen vier Motoren eine Leistung von 1.470 kW entwickeln und 320 km/h Spitze fahren.

  2. Evari 856: Minimalistisches E-Bike mit Monocoque-Rahmen und Titan
    Evari 856
    Minimalistisches E-Bike mit Monocoque-Rahmen und Titan

    Evari 856 heißt das E-Bike, das mit einem Monocoque-Rahmen aus Carbon ausgestattet ist. Dadurch soll es besonders leicht und stabil sein.

  3. Discovery+: Neues Streamingabo in Deutschland verfügbar
    Discovery+
    Neues Streamingabo in Deutschland verfügbar

    Während etwa Netflix oder Disney werbefinanzierte Varianten ihrer Abos planen, startet Discovery+ gleich mit einem solchen Dienst.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MSI RTX 3080 Ti Ventus 3X 12G OC 1.049€ • Alternate (u. a. Corsair Vengeance LPX 32 GB DDR4-3600 106,89€) • be quiet! Pure Rock 2 26,99€ • SanDisk microSDXC 400 GB 29€ • The Quarry + PS5-Controller 99,99€ • Samsung Galaxy Watch 3 119€ • Top-PC mit Ryzen 7 & RTX 3070 Ti 1.700€ [Werbung]
    •  /