Dell parchea vulnerabilidades que afectaban a millones de máquinas desde hace 12 años

Dell ha publicado parches de seguridad para corregir cinco vulnerabilidades de alta gravedad encontradas por la firma SentinelLabs en el controlador para la actualización de la BIOS de sus máquinas con sistemas operativos Windows. Afectan a decenas de millones de ordenadores de sobremesa, portátiles y tablets de consumo y empresariales y están activas desde hace 12 años.

El parche lanzado por Dell soluciona lo que llaman «vulnerabilidades de control de acceso insuficiente». Los fallos están recogidos bajo la etiqueta CVE 2021-21551 y residen en el controlador dbutil que la compañía utiliza para actualizar los firmwares (BIOS) de sus equipos. Las vulnerabilidades pueden usarse para bloquear sistemas, robar información y escalar privilegios para tomar el control total de las máquinas.

Básicamente, el controlador de Dell acepta ‘llamadas’ a las cuentas de cualquier usuario o programa. No hay controles de seguridad ni una lista de control de acceso para ver si el usuario que accede tenga los suficientes privilegios o esté suficientemente autorizada. Estas llamadas al sistema, llamadas específicamente IOCTL, pueden indicar al controlador de nivel de kernel que mueva el contenido de la memoria de una dirección a otra, lo que permite a un atacante leer y escribir RAM arbitraria del kernel.

El controlador incluso permite que cualquiera haga lecturas y escrituras de puertos de E / S x86, lo que otorga acceso al hardware subyacente. Son cinco errores en total, dos de corrupción de memoria, dos casos de falta de validación de entrada y un error lógico. Una vez explotados cualquiera de ellos se acabó el juego: la máquina puede ser controlada completamente a nivel del sistema operativo o instalar malware como un rootkit. 

Lo único ‘positivo’ es que estas vulnerabilidades no se pueden explotar remotamente y los atacantes necesitarían de acceso físico a las máquinas. La pregunta aquí es cómo han podido pasar desapercibidas durante 12 años este tipo de vulnerabilidades, que afectan a piezas de software tan críticas como las de actualización de BIOS.

Al menos en SentinelLabs no han encontrado que estas vulnerabilidades se estuvieran explotando. «Si bien no hemos visto ningún indicador de que estas vulnerabilidades hayan sido explotadas hasta ahora, con cientos de millones de empresas y usuarios actualmente vulnerables, es inevitable que los atacantes busquen a aquellos que no toman las medidas adecuadas», advirtió Kasif Dekel, un investigador de seguridad senior de SentinelOne que ayudó a encontrar estos agujeros. 

Las medidas son actualizar a la mayor brevedad los equipos afectados que se cuentan por decenas de millones ya que estas vulnerabilidades se remontan a 2009 y van desde las series de equipos Latitude a Inspiron, incluyendo sus portátiles para juegos de la serie G. 

Dell ha publicado el parche DSA-2021-088 para corregir los fallos en el controlador dbutil y ha proporcionado información adicional para tratar estas vulnerabilidades que se remontan -nada menos- a hace 12 años.