Sicherheitslücken: Vorinstallierte Dell-Software gefährdet 30 Millionen Rechner

Die Bios-Update-Funktion der vorinstallierten Software Supportassist von Dell kann missbraucht werden, um Schadcode aus der Ferne auszuführen.

Artikel veröffentlicht am ,
Ob dieses Dell-Notebook ebenfalls betroffen ist?
Ob dieses Dell-Notebook ebenfalls betroffen ist? (Bild: Its me Pravin/Unsplash)

Mehrere Sicherheitslücken in der häufig auf Dell Rechnern vorinstallierten Software Supportassist ermöglichen unter anderem eine Ausführung von Schadcode aus der Ferne (Remote Code Execution, RCE). Entdeckt hat die Sicherheitslücken eine Forschergruppe der Sicherheitsfirma Eclypsium.

Stellenmarkt
  1. Fachexperten / -innen für Gebäude und Wohnungen im Registerzensus (w/m/d)
    Statistisches Bundesamt, Wiesbaden
  2. Systemadministrator (w/m/d) Linux
    Personalwerk Holding GmbH, Karben
Detailsuche

Betroffen sind demnach 129 Modelle und insgesamt rund 30 Millionen Geräte von Dell. Eine Liste der betroffenen Geräte und Updates stehen zur Verfügung.

Die Sicherheitslücken stecken in der BIOSConnect-Funktion der Software Dell Supportassist. Mit ihr können Nutzer die Firmware ihres Gerätes aktualisieren oder eine Remote-Betriebssystemwiederherstellung durchführen. In beiden Fällen verbindet sich die Software mit den Backend-Services von Dell.

Dabei setze Dell allerdings auf eine unsichere TLS-Verbindung (CVE-2021-21571), bei der jedes gültige Wildcard-Zertifikat akzeptiert werde, berichtet die Forschergruppe. Entsprechend könne sich ein Angreifer mit einer privilegierten Netzwerkposition als Dell ausgeben und vom Angreifer kontrollierte Inhalte an das Gerät ausliefern.

Drei weitere Sicherheitslücken im Dell Supportassist

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

"Der Prozess der Überprüfung des Zertifikats für dell.com erfolgt, indem zuerst der DNS-Eintrag von dem hart kodierten Server 8.8.8.8 (Google) abgerufen wird und dann eine Verbindung zu https://downloads.dell.com hergestellt wird", schreibt die Forschergruppe. Allerdings erfülle jedes gültige Wildcard-Zertifikat, das von einer der integrierten CAs in der BIOSConnect-Funktion im Bios ausgestellt wurde, die Bedingung für eine sichere Verbindung. Die integrierten CAs stammen von Mozillas Root-Zertifikats-Datei.

Sei diese erfüllt, fahre BIOSConnect fort und rufe die relevanten Dateien ab. Sofern diese von Angreifern kontrolliert werde und UEFI-Secure-Boot deaktiviert sei, könne die Schwachstelle zur Ausführung von Schadcode in der UEFI/Pre-Boot-Umgebung auf dem Client-Gerät genutzt werden, erklärt die Forschergruppe. Damit handelt es sich letztlich um einen Machine-in-the-Middle-Angriff (MITM).

Zudem konnten die Forscher drei Überlauf-Sicherheitslücken (CVE-2021-21572, CVE-2021-21573, CVE-2021-21574) im Bios-Update sowie der Remote-Betriebssystemwiederherstellung entdecken. Details zu den drei unabhängig von einander ausnutzbaren Sicherheitslücken will Eclypsium Anfang August auf der Konferenz Defcon vorstellen.

Betroffene sollten umgehend die Patches von Dell einspielen. Eclypsium empfiehlt, das Update nicht über eine verwundbare BIOSConnect-Funktion des Supportassist durchzuführen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Opel Mokka-e im Praxistest
Reichweitenangst kickt mehr als Koffein

Ist ein Kompakt-SUV wie Opel Mokka-e für den Urlaub geeignet? Im Praxistest war nicht der kleine Akku das eigentliche Problem.
Ein Test von Friedhelm Greis

Opel Mokka-e im Praxistest: Reichweitenangst kickt mehr als Koffein
Artikel
  1. Statt TCP: Quic ist schwer zu optimieren
    Statt TCP
    Quic ist schwer zu optimieren

    Eine Untersuchung von Quic im Produktiveinsatz zeigt: Die Vorteile des Protokolls sind wohl weniger wichtig als die Frage, wer es einsetzt.

  2. Bitcoin, SpaceX, Elektroautos: Miami bekommt eigene Kryptowährung
    Bitcoin, SpaceX, Elektroautos
    Miami bekommt eigene Kryptowährung

    Sonst noch was? Was am 5. August 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  3. Roku: TV-Stick mit angepasstem Linux kommt nach Deutschland
    Roku
    TV-Stick mit angepasstem Linux kommt nach Deutschland

    Der TV-Stick als Alternative zum Fire TV Stick oder Chromecast stammt aus Großbritannien. Nun soll er auch nach Deutschland kommen.

Cargo Cult 26. Jun 2021 / Themenstart

Muss der MITM ein x-beliebiges Wildcard Zertifikat für eine x-beliebige Domain haben, das...

Kommentieren



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Fire TV Stick 4K Ultra HD 29,99€, Echo Dot 3. Gen. 24,99€ • Robas Lund DX Racer Gaming-Stuhl 143,47€ • HyperX Cloud II Gaming-Headset 59€ • Media Markt Breaking Deals [Werbung]
    •  /