Cientos de millones de portátiles y ordenadores de Dell son vulnerables a ataquesde escalada

Los portátiles y ordenadores de sobremesa de Dell que datan de 2009 -cientos de millones de ellos que el gigante del PC ha distribuido desde entonces- son vulnerables a ataques de escalada de privilegios no autorizados, debido a un controlador OEM defectuoso que la compañía utiliza para actualizar la BIOS o el firmware UEFI del ordenador, según los hallazgos de los investigadores de ciberseguridad de SentinelLabs. "DBUtil", un controlador que las máquinas de Dell cargan durante los procesos de actualización de la BIOS/UEFI automatizados o desatendidos iniciados por el usuario desde el sistema operativo, presenta vulnerabilidades que el malware puede explotar para "escalar los privilegios de un usuario no administrador a privilegios en modo kernel".

SentinelLabs ha publicado sus hallazgos en CVE-2021-21551, que detalla cinco fallos individuales. Dos de ellos señalan fallos que pueden escalar los privilegios del usuario a través de la corrupción de memoria controlada, dos con falta de validación de entrada; y uno con denegación de servicio. Las organizaciones que tienen habilitadas las actualizaciones remotas para sus máquinas cliente están en riesgo, ya que el fallo puede ser explotado a través de la red. "Un atacante con acceso a la red de una organización también puede obtener acceso para ejecutar código en sistemas Dell sin parches y utilizar esta vulnerabilidad para obtener una elevación local de privilegios. Los atacantes pueden entonces aprovechar otras técnicas para pasar a la red más amplia, como el movimiento lateral", escribe SentielLabs en su documento.

La buena noticia es que SentinelLabs ha estado trabajando con Dell antes de hacerlo público, y un controlador DBUtil parcheado está listo. La empresa se enfrenta ahora a la ingente tarea de distribuir los controladores parcheados a los cientos de millones de ordenadores cliente que ha distribuido desde 2009. La empresa ha publicado un aviso de seguridad que describe el CVE-2021-21551 a sus usuarios finales, y recomienda el siguiente curso de acción.

A continuación, un vídeo de presentación de SentinelLabs.