Trong 12 năm qua, một driver có chứa nhiều lỗ hổng gia tăng đặc quyền trên hệ thống đã được đẩy vào trong các máy tính Dell dành cho khách hàng cá nhân và doanh nghiệp.
Người ta ước tính rằng, hàng trăm triệu máy tính Dell, từ máy tính để bàn, laptop cho đến máy tính bảng, đã nhận được driver dễ bị tấn côngnày thông qua các bản cập nhật BIOS.
Một tập tin (CVE-2021-21551) gồm năm lỗ hổng được phát hiện trong DBUtil, một driver do các máy Dell cài đặt và nạp trong quá trình cập nhật BIOS. Driver này bị gỡ ở lần khởi động lại tiếp theo.
Xem xét driver DBUtil kỹ hơn, Kasif Dekel, một nhà nghiên cứu bảo mật thuộc Công ty an ninh mạng SentinelOne, nhận thấy rằng nó có thể bị khai thác “để nâng cao đặc quyền từ người dùng không phải quản trị viên sang đặc quyền ở chế độ Kernel”.
Từ đó, kẻ tấn công sẽ có quyền truy cập vào tất cả các phần cứng có sẵn trên hệ thống, bao gồm tham chiếu đến bất kỳ địa chỉ bộ nhớ nào, mà không bị hạn chế.
Loại lỗ hổng này không nghiêm trọng vì kẻ tấn công cần phải xâm nhập vào máy tính từ trước, nhưng nó cho phép các tác nhân đe dọa và phần mềm độc hại tồn tại lâu dài trên hệ thống bị tấn công.
Theo chuyên gia Dekel, đa số các lỗ hổng đều dẫn đến leo thang đặc quyền và vấn đề logic mã gây ra việc từ chối dịch vụ.
Trong một bài đăng trên blog ngày 5 tháng 5, chuyên gia cung cấp thông tin lỹ thuật nhưng không đưa ra chi tiết về việc kích hoạt và khai thác các lỗ hổng. Ông dự định sẽ chia sẻ các thông tin cụ thể hơn vào ngày 1 tháng 6.
Ngoài ra, ông cho biết, Dell đưa ra biện pháp khắc phục là một chương trình điều khiển cố định. Tuy nhiên, ông cho rằng tại thời điểm đó, công ty vẫn chưa thu hồi chứng chỉ của driver dễ bị tấn công đó, có nghĩa là kẻ tấn công mạng vẫn có thể sử dụng nó làm công cụ tấn công.
“Kẻ tấn công có quyền truy cập vào mạng của tổ chức thì cũng có quyền truy cập để thực thi mã trên các hệ thống Dell chưa được vá và sử dụng lỗ hổng này để tăng leo thang đặc quyền cục bộ. Sau đó, chúng có thể tận dụng các công nghệ khác để tấn công mạnh hơn” – SentinelOne cho biết thêm.
Mặc dù driver DBUtill được sử dụng nhiều năm và số lượng nạn nhân có nguy cơ bị ảnh hưởng lớn, nhưng SentinelOne cho biết họ chưa thấy bất kỳ manh mối nào về việc các lỗ hổng này bị khai thác trong tự nhiên. Tuy vậy, điều này có thể sớm thay đổi.