Vulnérabilité dans un driver des ordinateurs Dell
Date de publication :
CVE-2021-21551 [Score CVSS v3 : 7.8]
Le pilote Dell dbutil_2_3.sys contient une vulnérabilité de contrôle d'accès. Son exploitation peut permettre à un attaquant local et authentifié de procéder à une élévation de privilèges, à un déni de service ou à la divulgation d'informations.
Cette vulnérabilité se divise en cinq failles qui ont été trouvées dans le pilote vulnérable dbutil_2_3.sys :
CVE-2021-21551 : élévation de privilèges causé par une corruption de mémoire
CVE-2021-21551 : élévation de privilèges causé par une corruption de mémoire
CVE-2021-21551 : élévation de privilèges causé par une absence de validation des entrées
CVE-2021-21551 : élévation de privilèges causé par une absence de validation des entrées
CVE-2021-21551 : déni de service causé par un problème de logique de code
Deux problèmes principaux sont à l'origine de ces vulnérabilités. Le premier est que le pilote accepte les demandes de contrôle d'entrée/sortie (IOCTL) sans aucune liste de contrôle d'accès (ACL). Cela signifie que n'importe quel processus peut communiquer avec le pilote. C'est un problème car un processus peut se trouver dans le domaine utilisateur alors que le pilote se trouve dans le domaine du noyau, ce qui signifie que les fonctions IOCTL peuvent probablement être utilisées de manière abusive, ce qui est le cas ici.
Le deuxième problème est que le pilote vulnérable est situé dans les répertoires "Temp" :
C:\Users\<username>\AppData\Local\Temp
C:\Windows\Temp
Cela signifie que l'accès à ces répertoires pourrait être fait par un attaquant faiblement authentifié. Cela signifie qu'un attaquant pourrait simplement placer le pilote vulnérable (dbutil_2_3.sys) dans le système cible pour l'utiliser ensuite pour une élévation locale de privilèges.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Elévation de privilèges
- Déni de service
- Exposition d'informations sensibles
Criticité
- Score CVSS v3 : 7.8
Existence d’un code d’exploitation
- Un exploit (POC) existe
Composants vulnérables
- Une grande majorité des ordinateurs est impactée par cette vulnérabilité.
- Une liste détaillée est disponible sur l’avis de sécurité de Dell disponible en référence de bulletin.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Télécharger la dernière version de "Dell System Inventory Agent" : https://downloads.dell.com/FOLDER07278649M/1/DSIAPC_2.6.0.0.msi
Supprimer le pilote vulnérable dbutil_2_3.sys du système affecté en utilisant l'une des options ci-dessous :
- Télécharger et exécuter l'utilitaire Dell Security Advisory Update - DSA-2021-088. Il s'agit de l'option recommandée.
- Supprimer manuellement le pilote vulnérable dbutil_2_3.sys. * (consultez le paragraphe ci-dessous pour plus de détails)
- Le 10 mai 2021, Dell Notification Solutions sera en mesure de fournir et d'exécuter l'utilitaire Dell Security Advisory Update - DSA-2021-088. Cela se fera soit automatiquement s'il est configuré de cette façon, soit manuellement en cliquant sur "Check for updates" et en sélectionnant le Security Advisory Update mentionné ci-dessus.
- Pour empêcher la réintroduction d'un pilote dbutil vulnérable, obtenez et exécutez un paquet utilitaire de mise à jour du microprogramme corrigé, Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent ou Dell Platform Tags, selon le cas. Cela ne concerne pas la technique BYOVD mais empêche l'installation d'un pilote vulnérable lors de la prochaine mise à jour du micrologiciel.
Pour supprimer manuellement le pilote vulnérable, il est nécessaire d’effectuer ces deux étapes :
- Vérifier les emplacements suivants pour le fichier du pilote dbutil_2_3.sys :
C:\Users\<username>\AppData\Local\Temp
C:\Windows\Temp
- Sélectionner le fichier dbutil_2_3.sys et maintenez la touche SHIFT enfoncée tout en appuyant sur la touche DELETE pour le supprimer définitivement.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.