Благонамеренная функция делает миллионы ПК Dell уязвимыми

Недостатки встроенного программного обеспечения средств безопасности затрагивают до 30 миллионов настольных компьютеров, ноутбуков и планшетов.

Компания Dell выпустила исправление для набора уязвимостей, которые оставили незащищенными до 30 миллионов устройств.

Исследователи уже много лет знают о проблемах с безопасностью основополагающего компьютерного кода, известного как микропрограмма. Она часто изобилует уязвимостями, ее трудно обновлять патчами, и она все чаще становится целью реальных атак. Теперь хорошо продуманный механизм для легкого обновления микропрограммного обеспечения компьютеров Dell сам оказался уязвимым в результате четырех элементарных ошибок. И эти уязвимости могут быть использованы для получения полного доступа к целевым устройствам.

Новые находки исследователей из компании Eclypsium, занимающейся вопросами безопасности, затрагивают 128 последних моделей компьютеров Dell, включая настольные компьютеры, ноутбуки и планшеты. По оценкам исследователей, уязвимости подвержены в общей сложности 30 миллионов устройств, причем эксплойты работают даже в моделях, в которых используется система защиты ПК Secured-core от Microsoft - система, специально созданная для снижения уязвимости прошивки. Сегодня компания Dell выпускает исправления для этих уязвимостей.

"Эти уязвимости легко эксплуатировать в легком режиме. Это похоже на путешествие в прошлое - почти как в 90-е годы", - говорит Джесси Майкл, главный аналитик компании Eclypsium. "Индустрия достигла всей этой зрелости функций безопасности в приложениях и коде на уровне операционной системы, но они не следуют лучшим практикам в новых функциях безопасности микропрограммного обеспечения".

Уязвимости проявляются в функции Dell под названием BIOSConnect, которая позволяет пользователям легко и даже автоматически загружать обновления прошивки. BIOSConnect является частью более широкой функции обновления и удаленного управления операционной системой Dell под названием SupportAssist, которая имеет свою собственную долю потенциально проблемных уязвимостей. Механизмы обновления являются ценной целью для злоумышленников, поскольку они могут быть использованы для распространения вредоносного ПО.

Четыре уязвимости, обнаруженные исследователями в BIOSConnect, не позволят хакерам рассылать вредоносные обновления прошивки Dell всем пользователям сразу. Однако ими можно воспользоваться, чтобы индивидуально выбрать устройства-жертвы и легко получить удаленный контроль над микропрограммой. Компрометация микропрограммы устройства может дать злоумышленникам полный контроль над машиной, поскольку микропрограмма координирует аппаратное и программное обеспечение и работает как предшественник операционной системы и приложений компьютера.

"Это атака, которая позволяет злоумышленнику напрямую проникнуть в BIOS", фундаментальную микропрограмму, используемую в процессе загрузки, говорит исследователь Eclypsium Скотт Шеферман. "Еще до того, как операционная система загрузится и поймет, что происходит, атака уже произошла. Это уклончивый, мощный и желательный набор уязвимостей для злоумышленника, который хочет быть стойким".

Важной оговоркой является то, что злоумышленники не могут напрямую использовать четыре ошибки BIOSConnect из открытого Интернета. Им необходимо закрепиться во внутренней сети устройств-жертв. Но исследователи подчеркивают, что простота эксплуатации и отсутствие мониторинга или регистрации на уровне прошивки делают эти уязвимости привлекательными для хакеров. Как только злоумышленник взломает прошивку, он, скорее всего, сможет долгое время оставаться незамеченным в сети объекта атаки.

Исследователи Eclypsium раскрыли информацию об уязвимостях компании Dell. Они представили результаты исследования на конференции по безопасности Defcon в Лас-Вегасе в начале августа.

"Dell устранила многочисленные уязвимости для функций Dell BIOSConnect и HTTPS Boot, доступных на некоторых клиентских платформах Dell", - говорится в заявлении компании. "Эти функции будут автоматически обновлены, если у клиентов включена функция автоматического обновления Dell". В противном случае, по словам компании, клиентам следует установить исправления вручную "при первой же возможности".

Исследователи Eclypsium предупреждают, что это одно из обновлений, которое, возможно, не стоит загружать автоматически. Поскольку BIOSConnect сам по себе является уязвимым механизмом, самый безопасный способ получить обновления - перейти на сайт Dell Drivers and Downloads и вручную загрузить и установить обновления оттуда. Однако для обычного пользователя лучшим подходом будет просто обновить свой Dell любым доступным способом и как можно быстрее.

"Мы видим, как эти относительно простые ошибки, такие как дефекты логики, проявляются в новом пространстве безопасности прошивок", - говорит Майкл из Eclypsium. "Вы верите, что дом построен надежно, но на самом деле он стоит на песчаном фундаменте".

Пробежавшись по ряду кошмарных сценариев атак, связанных с небезопасностью микропрограммного обеспечения, Майкл переводит дух. "Извините", - говорит он. "Я могу много разглагольствовать об этом".