Sicherheitslücken: Vorinstallierte Dell-Software gefährdet 30 Millionen Rechner
Mehrere Sicherheitslücken in der häufig auf Dell Rechnern vorinstallierten Software Supportassist ermöglichen unter anderem eine Ausführung von Schadcode aus der Ferne (Remote Code Execution, RCE). Entdeckt hat die Sicherheitslücken eine Forschergruppe der Sicherheitsfirma Eclypsium.
Betroffen sind demnach 129 Modelle und insgesamt rund 30 Millionen Geräte von Dell. Eine Liste der betroffenen Geräte(öffnet im neuen Fenster) und Updates stehen zur Verfügung.
Die Sicherheitslücken stecken in der BIOSConnect-Funktion der Software Dell Supportassist. Mit ihr können Nutzer die Firmware ihres Gerätes aktualisieren oder eine Remote-Betriebssystemwiederherstellung durchführen. In beiden Fällen verbindet sich die Software mit den Backend-Services von Dell.
Dabei setze Dell allerdings auf eine unsichere TLS-Verbindung (CVE-2021-21571), bei der jedes gültige Wildcard-Zertifikat akzeptiert werde, berichtet die Forschergruppe(öffnet im neuen Fenster) . Entsprechend könne sich ein Angreifer mit einer privilegierten Netzwerkposition als Dell ausgeben und vom Angreifer kontrollierte Inhalte an das Gerät ausliefern.
Drei weitere Sicherheitslücken im Dell Supportassist
"Der Prozess der Überprüfung des Zertifikats für dell.com erfolgt, indem zuerst der DNS-Eintrag von dem hart kodierten Server 8.8.8.8 (Google) abgerufen wird und dann eine Verbindung zu https://downloads.dell.com hergestellt wird," schreibt die Forschergruppe. Allerdings erfülle jedes gültige Wildcard-Zertifikat, das von einer der integrierten CAs in der BIOSConnect-Funktion im Bios ausgestellt wurde, die Bedingung für eine sichere Verbindung. Die integrierten CAs stammen von Mozillas Root-Zertifikats-Datei(öffnet im neuen Fenster) .
Sei diese erfüllt, fahre BIOSConnect fort und rufe die relevanten Dateien ab. Sofern diese von Angreifern kontrolliert werde und UEFI-Secure-Boot deaktiviert sei, könne die Schwachstelle zur Ausführung von Schadcode in der UEFI/Pre-Boot-Umgebung auf dem Client-Gerät genutzt werden, erklärt die Forschergruppe. Damit handelt es sich letztlich um einen Machine-in-the-Middle-Angriff (MITM).
Zudem konnten die Forscher drei Überlauf-Sicherheitslücken (CVE-2021-21572, CVE-2021-21573, CVE-2021-21574) im Bios-Update sowie der Remote-Betriebssystemwiederherstellung entdecken. Details zu den drei unabhängig von einander ausnutzbaren Sicherheitslücken will Eclypsium Anfang August auf der Konferenz Defcon vorstellen.
Betroffene sollten umgehend die Patches von Dell einspielen. Eclypsium empfiehlt, das Update nicht über eine verwundbare BIOSConnect-Funktion des Supportassist durchzuführen.
- Anzeige Hier geht es zum Dell XPS 13 (9315) bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.