Des failles de Dell SupportAssist mettent en danger plus de 30 millions de PC

Les chercheurs en sécurité ont découvert 4 vulnérabilités de sécurité majeures dans la fonction BIOSConnect de Dell SupportAssist, permettant aux attaquants d’exécuter à distance du code dans le BIOS des appareils concernés.

Selon le site Web de Dell, le logiciel SupportAssist est « préinstallé sur la plupart des appareils Dell exécutant le système d’exploitation Windows », tandis que BIOSConnect fournit des fonctionnalités de mise à jour à distance du micrologiciel et de récupération du système d’exploitation.

La chaîne de failles découvertes par les chercheurs d’Eclypsium s’accompagne d’un score CVSS de 8,3/10 et permet aux attaquants distants privilégiés d’usurper l’identité de Dell.com et de prendre le contrôle du processus de démarrage de l’appareil cible pour briser les contrôles de sécurité au niveau du système d’exploitation.

« Une telle attaque permettrait aux adversaires de contrôler le processus de démarrage de l’appareil et de subvertir le système d’exploitation et les contrôles de sécurité de couche supérieure », expliquent les chercheurs d’Eclypsium dans un rapport partagé à l’avance.

« Le problème affecte 129 modèles d’ordinateurs portables de Dell, des ordinateurs de bureau et de tablettes grand public et pour professionnels, y compris les appareils protégés par Secure Boot et les PC Dell Secured-core », avec environ 30 millions d’appareils individuels exposés aux attaques.

dell supportassist
Image: Eclypsium

Les chercheurs ont identifié un problème entraînant une connexion TLS non sécurisée du BIOS à Dell (identifié comme CVE-2021-21571) et trois vulnérabilités de débordement (CVE-2021-21572, CVE-2021-21573 et CVE-2021-21574).

Deux des failles de sécurité de débordement « affectent le processus de récupération du système d’exploitation, tandis que l’autre affecte le processus de mise à jour du micrologiciel », explique Eclypsium. « Les trois vulnérabilités sont indépendantes et chacune pourrait conduire à l’exécution de code arbitraire dans le BIOS. »

Des informations supplémentaires sur les vulnérabilités peuvent être trouvées dans le rapport d’Eclypsium et la liste complète des modèles d’appareils concernés dans l’avis de Dell.

Il est conseillé aux utilisateurs de ne pas utiliser BIOSConnect pour mettre à jour leur BIOS

Selon Eclypsium, les utilisateurs devront mettre à jour le BIOS/UEFI du système pour tous les systèmes concernés. Les chercheurs recommandent également d’utiliser une autre méthode que la fonction BIOSConnect de SupportAssist pour appliquer les mises à jour du BIOS sur leurs appareils.

Dell fournit des mises à jour de BIOS/UEFI pour les systèmes concernés et des mises à jour pour les exécutables concernés sur Dell.com.

CVE-2021-21573 et CVE-2021-21574 ne nécessitent pas d’action supplémentaire pour les clients car ces failles ont été traitées côté serveur le 28 mai 2021. Cependant, les vulnérabilités CVE-2021-21571 et CVE-2021-21572 nécessitent les mises à jour du BIOS d’un client Dell pour être entièrement traitées.

Les utilisateurs qui ne peuvent pas mettre à jour immédiatement leurs systèmes peuvent désactiver BIOSConnect à partir de la page de configuration du BIOS ou à l’aide de l’outil de gestion à distance de systèmes Dell Command | Configure (DCC).

« Les vulnérabilités spécifiques couvertes ici permettent à un attaquant d’exploiter à distance le micrologiciel UEFI d’un hôte et de prendre le contrôle du code le plus privilégié de l’appareil », ont conclu les chercheurs.

« Cette combinaison d’exploitabilité à distance et de privilèges élevés fera probablement de la fonctionnalité de mise à jour à distance une cible séduisante pour les attaquants à l’avenir, et les organisations doivent s’assurer de surveiller et de mettre à jour leurs appareils en conséquence. »

Les logiciels Dell en proie à des failles critiques

Ce n’est pas la première fois que les propriétaires d’ordinateurs Dell sont exposés à des attaques par des failles de sécurité trouvées dans le logiciel SupportAssist.

Il y a deux ans, en Mai 2019, la société a corrigé une autre vulnérabilité d’exécution de code à distance de SupportAssist de haute gravité causée par une faiblesse de validation d’origine incorrecte et signalée par le chercheur en sécurité Bill Demirkapi en 2018.

Cette faille d’exécution de code à distance a permis à des attaquants non authentifiés sur la même couche d’accès réseau que les systèmes ciblés d’exécuter à distance des exécutables arbitraires sur des appareils non corrigés.

Le chercheur en sécurité Tom Forbes a découvert une faille d’exécution de code à distance similaire dans le logiciel Dell System Detect en 2015, permettant aux attaquants de déclencher le programme bogué pour télécharger et exécuter des fichiers arbitraires sans interaction de l’utilisateur.

SupportAssist a de nouveau été corrigé un an plus tard, en Février 2020, pour corriger une faille de sécurité due à un bogue de détournement d’ordre de recherche DLL qui permettait à des attaquants locaux d’exécuter du code arbitraire avec des privilèges d’administrateur sur des appareils vulnérables.

Enfin, le mois dernier, Dell a corrigé une faille permettant d’élever les privilèges des utilisateurs non-administrateurs vers les privilèges du noyau, un bogue trouvé dans le pilote DBUtil qui est fourni avec des dizaines de millions de périphériques Dell.

Jetez un coup d’œil à nos bons plans.

Laisser un commentaire