Sicherheitslücken: Vorinstallierte Dell-Software gefährdet 30 Millionen Rechner

Die Bios-Update-Funktion der vorinstallierten Software Supportassist von Dell kann missbraucht werden, um Schadcode aus der Ferne auszuführen.

Artikel veröffentlicht am ,
Ob dieses Dell-Notebook ebenfalls betroffen ist?
Ob dieses Dell-Notebook ebenfalls betroffen ist? (Bild: Its me Pravin/Unsplash)

Mehrere Sicherheitslücken in der häufig auf Dell Rechnern vorinstallierten Software Supportassist ermöglichen unter anderem eine Ausführung von Schadcode aus der Ferne (Remote Code Execution, RCE). Entdeckt hat die Sicherheitslücken eine Forschergruppe der Sicherheitsfirma Eclypsium.

Stellenmarkt
  1. C++ Softwareentwickler (m/w/d) für SDK- und Anwendungsentwicklung
    Basler AG, Ahrensburg bei Hamburg
  2. Manager IT Business Applications (m/w/d)
    Hays AG, Stuttgart
Detailsuche

Betroffen sind demnach 129 Modelle und insgesamt rund 30 Millionen Geräte von Dell. Eine Liste der betroffenen Geräte und Updates stehen zur Verfügung.

Die Sicherheitslücken stecken in der BIOSConnect-Funktion der Software Dell Supportassist. Mit ihr können Nutzer die Firmware ihres Gerätes aktualisieren oder eine Remote-Betriebssystemwiederherstellung durchführen. In beiden Fällen verbindet sich die Software mit den Backend-Services von Dell.

Dabei setze Dell allerdings auf eine unsichere TLS-Verbindung (CVE-2021-21571), bei der jedes gültige Wildcard-Zertifikat akzeptiert werde, berichtet die Forschergruppe. Entsprechend könne sich ein Angreifer mit einer privilegierten Netzwerkposition als Dell ausgeben und vom Angreifer kontrollierte Inhalte an das Gerät ausliefern.

Drei weitere Sicherheitslücken im Dell Supportassist

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

"Der Prozess der Überprüfung des Zertifikats für dell.com erfolgt, indem zuerst der DNS-Eintrag von dem hart kodierten Server 8.8.8.8 (Google) abgerufen wird und dann eine Verbindung zu https://downloads.dell.com hergestellt wird", schreibt die Forschergruppe. Allerdings erfülle jedes gültige Wildcard-Zertifikat, das von einer der integrierten CAs in der BIOSConnect-Funktion im Bios ausgestellt wurde, die Bedingung für eine sichere Verbindung. Die integrierten CAs stammen von Mozillas Root-Zertifikats-Datei.

Sei diese erfüllt, fahre BIOSConnect fort und rufe die relevanten Dateien ab. Sofern diese von Angreifern kontrolliert werde und UEFI-Secure-Boot deaktiviert sei, könne die Schwachstelle zur Ausführung von Schadcode in der UEFI/Pre-Boot-Umgebung auf dem Client-Gerät genutzt werden, erklärt die Forschergruppe. Damit handelt es sich letztlich um einen Machine-in-the-Middle-Angriff (MITM).

Zudem konnten die Forscher drei Überlauf-Sicherheitslücken (CVE-2021-21572, CVE-2021-21573, CVE-2021-21574) im Bios-Update sowie der Remote-Betriebssystemwiederherstellung entdecken. Details zu den drei unabhängig von einander ausnutzbaren Sicherheitslücken will Eclypsium Anfang August auf der Konferenz Defcon vorstellen.

Betroffene sollten umgehend die Patches von Dell einspielen. Eclypsium empfiehlt, das Update nicht über eine verwundbare BIOSConnect-Funktion des Supportassist durchzuführen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Plugin-Hybride
Autoindustrie wehrt sich gegen höhere Förderauflagen

Die Regierung will die Förderung von Plugin-Hybriden nur noch von der Reichweite abhängig machen. Zudem werden künftig Kleinstautos gefördert.
Ein Bericht von Friedhelm Greis

Plugin-Hybride: Autoindustrie wehrt sich gegen höhere Förderauflagen
Artikel
  1. Windows und Office: Microsoft-Accounts funktionieren jetzt auch ohne Passwörter
    Windows und Office
    Microsoft-Accounts funktionieren jetzt auch ohne Passwörter

    Das passwortlose Anmelden wird bereits von einigen Microsoft-Kunden genutzt. Die Funktion wird nun auf alle Konten ausgeweitet.

  2. Fake-News und Hassrede: Facebook löscht 150 Konten der Querdenker
    Fake-News und Hassrede
    Facebook löscht 150 Konten der Querdenker

    Nach Ansicht von Facebook hat die Querdenker-Bewegung "bedrohliche Netzwerke" gebildet und gegen Gemeinschaftsregeln verstoßen.

  3. Gopro Hero 10 Black ausprobiert: Gopros neue Kamera ist die Schnellste
    Gopro Hero 10 Black ausprobiert
    Gopros neue Kamera ist die Schnellste

    Endlich ein neuer Chip und mehr Zeitlupe! Wo Gopros Action-Kamera das Vorgängermodell schlägt, konnten wir vor dem Produktstart ausprobieren.
    Von Martin Wolf

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM Club-Tage: Bis zu 15% auf TVs, PCs, Monitore uvm.) • Alternate (u. a. Razer Kraken X für Konsole 34,99€) • Xiaomi 11T 5G vorbestellbar 549€ • Saturn-Deals (u. a. Samsung 55" QLED (2021) 849,15€) • Logitech-Aktion: 20%-Rabattgutschein für ASOS • XMG-Notebooks mit 250€ Rabatt [Werbung]
    •  /