上周,MSPU 報道了戴爾遠程 BIOS 更新軟件正存在的一個漏洞,或導致多達 129 款不同型號的電腦遭遇中間人攻擊。Eclypsium 研究人員解釋稱,該漏洞使得遠程攻擊者能夠執行多款戴爾筆記本電腦的 BIOS 代碼,進而控制設備的啟動過程、並打破操作系統和更高層級的安全機制。
此外 Eclypsium 指出,受影響的設備數量超過了 3000 萬台,並且涵蓋了戴爾的消費級 / 商務本、台式機、以及平板電腦產品線。
至於問題的根源,其實出在戴爾 BIOS 更新軟件 —— BIOSConnect 的身上。作為戴爾支持幫助(SupportAssistant)服務的一部分,該公司在大多數 Windows 設備上都預裝了它。
然而在客戶機到服務器端的連接過程中,BIOSConnect 使用了不安全的 TLS 連接。結合三個溢出漏洞,使得攻擊者能夠將特定的軟件傳送到用戶設備上。
其中兩個溢出型的安全漏洞會對操作系統的恢復過程產生影響,而另一個則影響固件的更新過程。但這三個漏洞都是相互獨立存在的,最終都可能導致 BIOS 中的任意代碼執行。
研究人員建議所有受影響的設備用戶手動執行 BIOS 更新,且戴爾官方也應該主動砍掉 BIOSConnect 軟件中用不到的功能。
慶幸的是,目前戴爾已經承認了相關問題,並於今日發布了修補程序。該公司在支持頁面上寫道:
DSA-2021-106:這是一項針對戴爾客戶端平台的安全更新,旨在修復 BIOSConnect 和 HTTPS 引導功能中的多個漏洞。
下載地址:
https://www.DELL.com/support/kbdoc/en-hk/000188682/dsa-2021-106-dell-client-platform-security-update-for-multiple-vulnerabilities-in-the-supportassist-biosconnect-feature-and-https-boot-feature