» »

Ranljivost, ki ogroža na milijone Dellovih naprav

Ranljivost, ki ogroža na milijone Dellovih naprav

Ars Technica - Raziskovalci varnostnega podjetja Eclypsium so že v začetku marca odkrili paket varnostnih lukenj na Dellovih računalnikih, prek katerih je mogoče z njihovo povezavo prevzeti nadzor nad napravo, njenim zagonom, s tem pa tudi nad varnostnimi funkcijami operacijskega sistema. Ranljivosti imajo na lestvici Common Vulnerability Scoring System (CVSS) skupno varnostno oceno 8,3, prek njih pa je ogroženih 128 različnih Dellovih tablic ter namiznih in prenosnih računalnikov, skupaj naj bi šlo kar za okoli 30 milijonov naprav.

Središče nevarnosti predstavlja orodje Dell SupportAssist, ki je večinoma že prednaloženo na naprave in njegova funkcionalnost BIOSConnect, ki naj bi uporabnikom olajšala nadgradnje in popravke firmwara ter pomagala pri ponovni vzpostavitvi operacijskega sistema po morebitni zrušitvi. Orodje se v ta namen samo poveže v Dellov oblak in od tam prenese potrebne podatke. Raziskovalci pa so v tem procesu odkrili četverico ranljivosti, ki bi napadalcu lahko omogočile izvajanje poljubne programske kode v BIOSu napadene naprave.

Ranljivosti bodo podrobneje predstavili na konferenci Defcon, ki bo potekala avgusta, za zdaj pa je znano, da je pri povezovanju BIOSConnecta na zaledni Dellov HTTP strežnik mogoče uporabiti katerikoli wildcard certifikat, zaradi česar lahko napadalci privzamejo identiteto Della in uporabniku v sistem naložijo poljubno vsebino. Preostale tri ranljivosti naj bi bile povezane s prelivanjem pomnilnika in naj bi prav tako omogočale poljubno izvajanje kode v BIOSu. Edina ovira, ki jo morajo napadalci premagati je ta, da morajo imeti dostop do notranjega omrežja, v kateri se nahaja žrtvina naprava, kar pa lahko dosežejo s t. i. Machine-in-the-Middle (MITM) napadom. Po besedah raziskovalcev gre kljub temu za ranljivosti, ki jih je precej preprosto izkoristiti, saj smo se v zadnjih letih posvečali predvsem razvoju varnostnih mehanizmov na nivoju operacijskega sistema in aplikacij, medtem ko je na ravni firmwara varnostna kultura nekoliko zaspala.

Dell je pred dnevi že ponudil varnostne zaplate za vse ranljivosti, ki pa jih morda vendarle kaže prenesti in pognati ročno, prek Dellove Drivers and Downloads spletne strani in ne prek trenutno spornega BIOSConnecta.

12 komentarjev

scipascapa ::

DELL ne DELLA.

Han ::

Vse kar je prednaloženega z logotipom proizvajalca, je smiselno takoj odstranit. Še bolje kar popolnoma izbrisat SSD ter sistem in programe (brez logotipa) sveže namestiti.

LeQuack ::

Han je izjavil:

Vse kar je prednaloženega z logotipom proizvajalca, je smiselno takoj odstranit. Še bolje kar popolnoma izbrisat SSD ter sistem in programe (brez logotipa) sveže namestiti.


Brez skrbi, Windows 10 sam naloži že določene stvari. Na mojem HP prenosniku sem se hotel izogniti HP bloatwere in sem na sveže namestil Windows, ki so takoj ko sem se povezal na internet, prenesli ves možen software oz. kao driverje, ampak dejansko HP software. Nič ni vprašal ali lahko kaj prenese ali kaj podobnega, samo prenese se in nimaš izbire.
Quack !

Lonsarg ::

To se sicer da izklopit v nastavitvah (tako da v celoti izklopiš auto driver update). Ampak ja, po defaultu pride preko driver update zraven tudi software od proizvajalca driverja v kolikor je proizvajalec driverja tako nastavil (torej ne vedno ampak sem dogaja). Zelo nadležno, pa ne samo ker je bloatware ampak ker pridejo občasno zraven tudi kake pokvarjene zadeve.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

Spura ::

Vendor garbage spet.

da je pri povezovanju BIOSConnecta na zaledni Dellov HTTP strežnik mogoče uporabiti katerikoli wildcard certifikat,
To mamo pa tut v Sloveniji ze prakticno folkloro, lahko greste cez stare poste v temi o davcnih blagajnah. Bedni programerji ne znajo normalno TLS skonfigurirat pa si uvozit public keye od serverja kamor se povezujejo, in potem pac nastavijo da se public key ne preverja, ampak HTTPS connector sprejme vsak certifikat.

Sindrom ::

Najhujše sranje se mi zdi, da proizvajalci z takšnim veseljem tlačijo najrazličnejšo šaro noter v BIOS čipe. BIOS sploh nebi smel imeti zmožnosti komuniciranja na daljavo (wifi, bluetooth, ethernet, itd). Moral bi vsebovati le najmanjše možno število komponent, ki so potrebne, da se strojna oprema prebudi in lahko prične nalagati operacijski sistem. Dober primer takšnega BIOS-a je projekt z imenom HEADS.
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmerman

Han ::

Jaz na Asus, Dell, HP in Lenovo nimam takšnih izkušenj. Po sveži namestitvi sistema se ponavadi naložijo le osnovni šoferji. Če se slučajno vsili še dodaten program (z logotipom), ki nadzira posodobitve, ga odstranim ali blokiram.

jovani123 ::

LeQuack je izjavil:

Han je izjavil:

Vse kar je prednaloženega z logotipom proizvajalca, je smiselno takoj odstranit. Še bolje kar popolnoma izbrisat SSD ter sistem in programe (brez logotipa) sveže namestiti.


Brez skrbi, Windows 10 sam naloži že določene stvari. Na mojem HP prenosniku sem se hotel izogniti HP bloatwere in sem na sveže namestil Windows, ki so takoj ko sem se povezal na internet, prenesli ves možen software oz. kao driverje, ampak dejansko HP software. Nič ni vprašal ali lahko kaj prenese ali kaj podobnega, samo prenese se in nimaš izbire.


Mam HP služben PC; cca 2 leti star, I7 + SSD 500; 16 Giga rama, doking station,.. hp miško, monitorje. Za rečt bomba oprema, ki takrat ni bila poceni... Ma taka jajca, da ne znam povedati. Prvo sem dal miš na kabel, malo bolje ma skos ki zmrzuje.. Da o lokalnih informatikih ne zgubljam besed.
Raje bi mel DEEL, pa da mi heker prostovoljno gleda kaka porednosti delam na PC-ju :)

bbbbbb2015 ::

Han je izjavil:

Jaz na Asus, Dell, HP in Lenovo nimam takšnih izkušenj. Po sveži namestitvi sistema se ponavadi naložijo le osnovni šoferji. Če se slučajno vsili še dodaten program (z logotipom), ki nadzira posodobitve, ga odstranim ali blokiram.


To je velika škoda, ker to delaš. Jaz uporabljam DELLe, ko opremo plačuje naročnik, sicer pa uporabljamo Lenovote, če mi plačujemo opremo.
Vsaj za najnovejšo opremo (Lenovo E15) lahko rečem, da smo jo kupili, ko je bila zunaj manj kot mesec dni, ter je s stock driverji delala slabo. Potem smo naredili še Lenovo update, pa jih je bilo še nekih 10+, pa je to že dosti bolje delalo, recimo drsna ploščica, docking odpiranje in prehajanje v spanje, več monitorjev.

Pa blokiranje mikrofona ni v redu delalo, če si bil v Zoomu.

Potem vmes so prišli še ceritficirani Microsoft driverji preko Microsoft update-a, pa se je zdelo, da vse enako dela.

Potem je eden od sodelavcev imel blokiran laptop, kar zamrznil je, ni bil blue-screen. Nekaj je čaral z dvema videoma, enim na velikem 4K ekranu, enim na malem laptop ekranu.

Mislim, da je hotel gledati neke youtube, pa mu je kar zamrzovalo.
To smo potem sicer nalagali novejše driverje od Intela direkt, pa to ni v redu delalo. Boljše je bilo, samo CPU je video trošil. Potem smo zopet zagnali ThinkAdvantage, pa je naložil novejše video driverje in čipset driverje in od takrat v redu dela.

Tako da mislim, da so Lenovo driverji bolj up-to-date.

Zgodovina sprememb…

Han ::

Nobene škode ne delam, pač pa zagotavljam, da računalniki delujejo optimalno. :P

bbbbbb2015 ::

Han je izjavil:

Nobene škode ne delam, pač pa zagotavljam, da računalniki delujejo optimalno. :P


Jah, kaj pa vem. Popravki (driverji), ki pridejo preko Windowes Update so certificirani Microsoft popravki. Ko firma, kot je Lenovo ugotovi, da detajl ne dela v redu (pa tega je ogromno, ko je produkt nov), oni dajo ven popravke po svojih sistemih.

Razmišljanej, da so tisti Windows driverji samo "basic", ostali pa "bloated" je, IMHO, napačno. Saj gre za iste driverje, samo eni so (malo redkeje) cerificirani.

Recimo, če je produkt na koncu svoje dobe (recimo 5+ let star), toverjamem, da so Windows driverji enaki recimo Lenovo driverjem.
Samo za nove stvari (ko bi človek pričakoval, da produkt super dela) pa je sigurno ThinkVantage od Lenovota recimo majka mila.

mahoni ::

Se zmeraj ne stekam, kaj lahko napadalec povzroci. :(
Tu je bil nesramen podpis, ki mi je prislužil naziv, ampak mi dol visi za tem.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Thunderspy: razlog več, da prenosnika ne puščate samega

Oddelek: Novice / Varnost
95670 (3623) poweroff
»

Kritične ranljivosti v Qualcommovih čipsetih

Oddelek: Novice / Varnost
328690 (6734) buneech
»

Odkritih 13 kritičnih ranljivosti AMD Ryzen in EPYC procesorjev (strani: 1 2 3 )

Oddelek: Novice / Procesorji
10836089 (29418) rdecaluc
»

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20181834 (64388) jukoz
»

Odkrit trojanec za Linux (strani: 1 2 3 )

Oddelek: Novice / Varnost
12537458 (31071) SeMiNeSanja

Več podobnih tem