In passato si sono già registrati diversi casi simili: i componenti software preinstallati dai produttori dei PC sui sistemi acquistati dagli utenti finali possono talvolta essere sfruttati per acquisire privilegi più elevati.
In Windows basta aprire il prompt dei comandi con i diritti di amministratore e senza tali privilegi per accorgersi di quali e quante operazioni si è autorizzati a effettuare con l’account utente in uso: basta digitare whoami /priv
e premere Invio.
I ricercatori di SentinelOne hanno scoperto cinque vulnerabilità nei driver Dell installati su milioni di sistemi, quelli indicati dalla stessa azienda nel documento pubblicato qui, che permettono apputno di sfruttare un componente software per acquisire i privilegi più elevati ed effettuare qualunque operazione in modalità kernel.
Il problema è insito nel driver DBUtil che Dell ha distribuito negli ultimi 12 anni su sistemi destinati a utenti privati, professionisti e aziende e che è strettamente correlato con la procedura di aggiornamento del BIOS/UEFI.
Dell conferma che per risolvere il problema è sufficiente che gli utenti installino l’ultima versione dei driver, appena distribuita. Da SentinelOne si fa tuttavia presente che dal momento che Dell non ha ancora revocato il certificato digitale associato al driver vulnerabile, il problema di sicurezza potrebbe essere ancora sfruttato.
La buona notizia, comunque, è che l’attacco non può avvenire in modalità remota, almeno non senza utilizzare il problema di sicurezza scoperto in DBUtil insieme con altre vulnerabilità lasciate irrisolte.
Il documento di supporto pubblicato da Dell fornisce le istruzioni per rimuovere completamente il driver DBUtil vulnerabile (dbutil_2_3.sys
).