Pembuat PC Dell telah mengeluarkan pembaruan untuk memperbaiki kerentanan Bug BIOS PrivEsc yang tidak terdeteksi sejak 2009.
Bug tersebut Berpotensi memungkinkan penyerang mendapatkan hak istimewa mode kernel dan menyebabkan kondisi penolakan layanan.
Masalah tersebut, yang dilaporkan ke Dell oleh para peneliti dari SentinelOne pada 1 Desember 2020, berada di driver pembaruan firmware bernama “dbutil_2_3.sys” yang sudah diinstal sebelumnya di perangkatnya.
Ratusan juta perangkat desktop, laptop, notebook, dan tablet produkdari perusahaan tersebut kabarnya sangat rentan dengan celah keamanan ini.
“Driver Dell dbutil_2_3.sys berisi kerentanan kontrol akses yang tidak memadai yang dapat menyebabkan eskalasi hak istimewa, penolakan layanan, atau pengungkapan informasi. Membutuhkan akses pengguna yang diautentikasi secara lokal,” kata Dell dalam sebuah nasihat.
Celah keamanan Bug BIOS PrivEsc Dell
Kelima kekurangan terpisah telah memiliki pengenal CVE CVE-2021-21551 dengan skor CVSS 8,8. Rincian kekurangannya adalah sebagai berikut:
CVE-2021-21551: Local Elevation Of Privileges #1 – Memory corruption, CVE-2021-21551: Local Elevation Of Privileges #2 – Memory corruption, CVE-2021-21551: Local Elevation Of Privileges #3 – Lack of input validation. CVE-2021-21551: Local Elevation Of Privileges #4 – Lack of input validation, dan CVE-2021-21551: Denial Of Service – Code logic issue
“Cacat tingkat keparahan yang tinggi dapat memungkinkan pengguna mana pun di komputer. Bahkan tanpa hak istimewa, untuk meningkatkan hak istimewa mereka dan menjalankan kode dalam mode kernel”. Kata Peneliti Keamanan Senior SentinelOne Kasif Dekel dalam analisis hari Selasa.
“Di antara penyalahgunaan yang jelas dari kerentanan tersebut adalah bahwa mereka dapat berfungsi untuk melewati produk keamanan.”
Karena ini adalah bug eskalasi hak istimewa lokal, mereka tidak mungkin tereksploitasi dari jarak jauh melalui internet.
Untuk melakukan serangan, musuh harus mendapatkan akses ke akun non-administrator pada sistem yang rentan. Setelah itu kerentanan driver bisa sangat berbahaya karena mampu untuk mendapatkan peningkatan hak istimewa lokal.
Berbekal akses ini, penyerang kemudian dapat memanfaatkan teknik lain untuk mengeksekusi kode arbitrer dan secara lateral bergerak melintasi jaringan organisasi.
Meskipun tidak ada bukti penyalahgunaan in-the-wild yang terdeteksi, SentinelOne mengatakan pihaknya berencana untuk merilis kode bukti-konsep (PoC) pada 1 Juni 2021. Memberi pelanggan Dell cukup waktu untuk memulihkan kerentanan.
Pengungkapan SentinelOne adalah ketiga kalinya masalah yang sama dilaporkan ke Dell selama dua tahun terakhir, menurut Kepala Arsitek Crowdtrike Alex Ionescu, pertama oleh perusahaan keamanan siber yang berbasis di Sunnyvale pada 2019 dan lagi oleh IOActive.
Dell juga memuji Scott Noone dari OSR Open Systems Resources yang melaporkan kerentanan tersebut.