12年間発見されなかったDELL製ドライバに深刻な脆弱性 (CVE-2021-21551):数億台のシステムに影響か

サイバーセキュリティ企業SentinelOneは、Dell のデスクトップ、ラップトップ、ノートブック、タブレットに影響を与える Dell のファームウェアアップデートドライバーに深刻度の高い 5 つの欠陥を発見したと発表しました。

攻撃者は、これらの脆弱性を利用してローカルにカーネルモードの権限に昇格する可能性があります。

2009年以降、デルはこの脆弱性を持つドライバーを搭載した数億台のWindowsデバイスを世界中で発売しており、Sentinel社の調査結果は2020年12月1日にDell社に積極的に報告、CVSSスコア8.8とマークされたCVE-2021-21551として登録されています。

DELLは、この脆弱性に対処するためのセキュリティアップデートをユーザに公開しています。

DSA-2021-088:Dell dbutilドライバーに存在する不十分なアクセス制御の脆弱性に関するDellクライアント プラットフォームのセキュリティ アップデート | Dell 日本
Dellは、Dellクライアント ファームウェア アップ&#1248...

5つの欠陥が1つのパッケージに

DELL社コンピュータのBIOSアップデートの際にインストールされたDBUtilのドライバーにCVE-2021-21551として登録されている5つの脆弱性があることがわかっています。

  • CVE-2021-21551: Local Elevation Of Privileges #1 – Memory corruption
  • CVE-2021-21551: Local Elevation Of Privileges #2 – Memory corruption
  • CVE-2021-21551: Local Elevation Of Privileges #3 – Lack of input validation
  • CVE-2021-21551: Local Elevation Of Privileges #4 – Lack of input validation
  • CVE-2021-21551: Denial Of Service – Code logic issue

サイバーセキュリティ企業SentinelOneは、DBUtilドライバを調査した結果、「管理者以外のユーザーからカーネルモードの特権へと権限を昇格させる 」という攻撃が可能であることを報告しています。

このレベルの権限で実行された攻撃者のプログラムは、任意のメモリアドレスを参照したりシステム上で利用可能なすべてのハードウェアに無制限にアクセスできるようになります。

ただこの脆弱性を悪用する攻撃者は事前にコンピュータを侵入している必要があるため、重要とは見なされていませんが、この脆弱性を利用することで脅威となる人物やマルウェアが感染したシステム上で継続的に活動することが可能になります。

CVE番号は1つですが、1つの脆弱性に5つの別々の脆弱性があり、そのほとんどが特権昇格につながるもので、DOS攻撃につながるコードロジックの問題のあることがわかっています。

本脆弱性の技術情報は公開されていますが、ユーザーがパッチを適用する時間を確保するため脆弱性の利用詳細については伏せられています。サイバーセキュリティ企業SentinelOneは、6月1日に実証済みの攻撃コード(POC)を公開予定です。

Dell社はこの脆弱性に対してセキュリティガイドが準備されており、対策として修正されたドライバが提供されますが、SentinelOne社はDELL社が脆弱性のあるドライバの証明書を失効させていないため、本脆弱性は攻撃に使用できる状態と報告しています。

「組織のネットワークにアクセスできる攻撃者は、パッチが適用されていないDELL製システムでプログラムを実行したり、この脆弱性を利用してローカルで特権昇格させたりすることも可能です。攻撃者はその後、横移動(ラテラルムーブメント)のような他の技術を活用して、より広範なネットワークに親友することができます」 – SentinelOne

SentinelOne社によると、脆弱性を持つDBUtilドライバが長期間使用されており潜在的な被害ユーザが多いにもかかわらず、これらの脆弱性が悪用されていることを示す証拠は見当たらないとのことです。

同社は、脆弱なDBUtilドライバを悪用して、ターゲットシステム上でローカルな権限昇格を実現できることを示すビデオを公開しています。

コメント

タイトルとURLをコピーしました