Ordinateurs de bureau, ordinateurs portables, notebooks, tablettes… Des centaines de millions d'appareils Windows vendus par Dell partout dans le monde depuis 2009 sont concernés par cinq failles critiques. Elles concernent le pilote de mise à jour du firmware de Dell. Découvertes par Kasif Dekel, chercheur principal en sécurité chez SentinelOne, les brèches ont été signalées à Dell le 1er décembre de l'année dernière. Répertoriées sous la référence CVE-2021-21551, leur indice de gravité est de 8,8 dans le système d’évaluation Common Vulnerability Scoring System (CVSS). Même si Dell a regroupé toutes les vulnérabilités du pilote de mise à jour du firmware sous une unique référence CVE, celle-ci couvre cinq failles distinctes :
- CVE-2021-21551 : Elévation locale de privilèges #1 et de corruption de mémoire ;
- CVE-2021-21551 : Elévation locale de privilèges #2 et de corruption de mémoire ;
- CVE-2021-21551 : Elévation locale de privilèges #3 et d’absence de validation des entrées ;
- CVE-2021-21551 : Elévation locale de privilèges #4 et d’absence de validation des entrées
- CVE-2021-21551 : Déni de service avec un problème de logique de code.
Des faiblesses vieilles de 12 ans
« Il y a plusieurs mois, j'ai commencé à enquêter sur la sécurité du module du pilote de mise à jour du firmware version 2.3 [dbutil_2_3.sys], utilisé semble-t-il depuis au moins 2009 », a déclaré Kasif Dekel dans un billet de blog. « Aujourd'hui, le composant du pilote de mise à jour du firmware, qui prend en charge les actualisations via l'utilitaire Dell Bios, est préinstallé sur la plupart des machines Dell sous Windows et sur les machines Windows fraîchement installées qui ont été mises à jour. Des centaines de millions d'appareils Dell font l'objet de mises à jour régulières, tant pour les systèmes grand public que pour les systèmes d'entreprise », a expliqué le chercheur en sécurité.
« Cette enquête a débouché que la découverte de cinq vulnérabilités de haute gravité présents depuis 12 ans mais inconnus jusque-là. Ces vulnérabilités très critiques dans le pilote de Dell pourraient permettre à des attaquants d'élever les privilèges d'un utilisateur n’ayant pas la qualité d’administrateur à des privilèges en mode kernel », a-t-il encore déclaré. « Pendant toutes ces années, Dell a livré des utilitaires de mise à jour du BIOS avec le pilote vulnérable à des centaines de millions d'ordinateurs (ordinateurs de bureau, ordinateurs portables, notebooks, tablettes…) dans le monde entier », a-t-il ajouté.
Un outil de remédiation et un correctif à disposition
Selon Kasif Dekel, ces failles critiques pourraient permettre à n'importe quel utilisateur, même sans privilèges, d'escalader ses privilèges et d'exécuter du code en mode kernel sur un ordinateur affecté. « Parmi les abus évidents, ces vulnérabilités pourraient être exploitées pour contourner les produits de sécurité », a-t-il fait remarquer. En outre, un attaquant qui arrive à s’introduire dans le réseau d'une entreprise tentera également d’exécuter du code sur des systèmes Dell non corrigés et d’utiliser cette vulnérabilité pour obtenir une élévation locale des privilèges. Il peut ensuite utiliser d'autres techniques pour compromettre plus largement le réseau, par mouvement latéral par exemple », a ajouté M. Dekel.
La firme américaine a livré un pilote corrigé de mise à jour et fourni des étapes de remédiation pour atténuer la vulnérabilité de sécurité affectant le pilote [dbutil_2_3.sys] packagé avec les paquets d'utilitaires et d'outils de mise à jour du firmware du Client Dell. « Nous avons corrigé une vulnérabilité (CVE-2021-21551) dans un pilote [dbutil_2_3.sys] affectant certains ordinateurs Dell sous Windows », a déclaré un porte-parole de la société. « A ce jour, nous n'avons vu aucune preuve que cette vulnérabilité ait été exploitée par des acteurs malveillants », a-t-il ajouté. « Nous invitons les clients à consulter l'avis de sécurité de Dell (DSA-2021-088) et à suivre les étapes de remédiation dès que possible. Nous avons également publié une FAQ contenant des informations supplémentaires. Merci aux chercheurs d'avoir travaillé directement avec nous pour résoudre le problème », e a encore déclaré le porte-parole. L’entreprise de sécurité SentinelOne a confirmé, qu'au 4 mai, elle n'avait pas découvert de preuves d’exploitation dans la nature de ces vulnérabilités.