Dell周二发布安全公告,修补一个存在长达12年的驱动程序漏洞,可能让黑客在Dell设备上执行恶意程序代码。该漏洞估计影响上千万台Dell笔记本或PC机等产品。
这项漏洞是由安全企业Sentinel披露并通报Dell。实际通报的瑕疵有5项,皆位于Dell驱动程序DBUtil(dbutil_2_3.sys)之中,但Dell将之统称为CVE-2021-21551,归属于访问管控不足漏洞。
5项瑕疵可让具本机非管理员权限的攻击者取得核心模式执行权限,以执行恶意程序代码。细分来看,4项会造成权限扩张,1项可引发拒绝服务(Denial of Service,DoS)攻击。研究人员Kasif Dekel指出,该漏洞“很容易被开采”,也可能结合其他手法扩大伤害,像是在网络上横向移动。由于需要本机权限,本漏洞风险层级被列为8.8。
CVE-2021-21551的冲击在于它从2009年就已存在DBUtil中,并通过Dell的程序发布给Dell消费及企业终端,包括笔记本、PC机、平板等,估计可能数量达千万甚至上亿台。可能传播问题驱动程序,并将之安装在Dell用户设备上的程序包括固件更新公用程序组件、Dell Command Update、Dell Update、Alienware Update、Dell System Inventory Agent或Dell Platform Tags等。
受漏洞影响的软件包括BIOS更新、Thunderbolt固件、TPM固件更新、dock固件更新等。
所幸SentinelOne研究人员未发现有开采漏洞的行为。Dell呼吁用户尽快安装更新版固件,但也说明该漏洞只影响Windows设备,Linux平台不受影响。