Des millions d’ordinateurs Dell touchés par des failles de sécurité

Des millions d’ordinateurs Dell touchés par des failles de sécurité

Les chercheurs en sécurité d’Eclypsium ont cette semaine tiré la sonnette d’alarme. Un ensemble de failles dans la fonction BIOSConnect de Dell SupportAssist, un module généralement installé dans les ordinateurs de bureau, les portables et les tablettes de Dell, peut donner à des pirates l’opportunité de contrôler le processus de démarrage de ces PC et leur donner toute latitude pour contrôler les niveaux de sécurité les plus élevés.

 

Les correctifs sont disponibles

Dell SupportAssist gère tout ce qui est récupération du système et le dépannage, globalement les fonctions d’assistance. BIOSConnect est un élément de ce logiciel, il sert à mettre à jour le firmware de l’ordinateur et pour récupérer la version du système d’exploitation du PC. Deux éléments qui ne vont pas l’un sans l’autre, et qui sont habituellement présents sur les machines Dell équipées de Windows.

Ces deux composants communiquent via le nuage du constructeur américain. Les chercheurs d’Eclypsium ont mis le doigt sur quatre vulnérabilités qui, exploitées ensemble, donnent le moyen d’exécuter du code arbitraire dans le BIOS des PC concernés. Autant dire que c’est une faille grave, elle est d’ailleurs notée 8,3 sur l’échelle Common Vulnerability Scoring System (CVSS).

Et ce n’est pas tout : trois vulnérabilités supplémentaires ont aussi été trouvées par Eclypsium. Deux d’entre elles touchent la récupération du système d’exploitation, la dernière frappe le système de mise à jour du firmware. Dell a rapidement réagi en publiant des correctifs pour le BIOS/UEFI des PC qui pourraient être victimes de ces attaques. Ces mises à jour sont disponibles depuis le 24 juin.

 

Le Bios/Uefi comme point d’entrée

Lorsque BiosConnect tente de se connecter au serveur HTTP principal de Dell, tout certificat valide est accepté. Un attaquant peut alors très bien se faire passer pour Dell et renvoyer le code de son choix sur la machine ciblée. Deux autres vulnérabilités concernent le processus de récupération du système d’exploitation, tandis que la dernière est présente dans le mécanisme de mise à jour du firmware.

Dans chaque cas, un attaquant pourrait exécuter du code arbitraire dans le Bios. Ces brèches ont été découvertes le 2 mars par Eclypsium et Dell a depuis programmé des mises à jour Bios/Uefi pour les systèmes concernés. Ces failles ont été mises à jour après la découverte de cinq autres vulnérabilités critiques dont certaines dataient d’une douzaine d’années et impactaient des centaines de millions d’ordinateurs. Là encore, elles ont été rapidement corrigées par Dell.

 

Pour des raisons de sécurité, il est urgent de mettre à jour son ordinateur Dell

Dell a mis en ligne un correctif pour corriger cinq failles de sécurité critiques datant de 12 ans. Elles concernent des centaines de millions d’ordinateurs de la marque avec près de 400 modèles différents.

Si vous êtes possesseur d’un ordinateur Dell, quelle que soit sa gamme, il est nécessaire d’appliquer le dernier correctif de sécurité mis à disposition par le constructeur. Un gros correctif qui fait suite à la découverte de cinq failles de sécurité importantes. Elles viennent toucher 380 modèles de la marque, qu’il s’agisse des ordinateurs de bureau, des portables et même ceux de la gamme Alienware pour les gamers.

Les vieux modèles sont aussi concernés par ces failles et accepteront ce correctif. Sur ces cinq failles, quatre peuvent engendrer une élévation des privilèges, autrement dit, le pirate dispose des autorisations nécessaires pour modifier le système et implanter ses charges virales comme il l’entend. Une autre faille peut entraîner un déni de service. La société de sécurité ne donne pas plus détails sur les méthodes qui pourraient être employées étant donné le nombre d’ordinateurs concernés par cette vulnérabilité.

Des failles qui datent de 2009

Ces failles ont été découvertes par Kasif Dekel, un chercheur en cybersécurité chez SentinelOne. Celui-ci enquêtait sur la sécurité du pilote permettant de réaliser la mise à jour du firmware des centaines de millions d’ordinateurs Dell. Ce pilote utilisé depuis 2009, disposait de ces cinq failles depuis ses débuts. Inquiétant lorsque l’on sait que la marque est un gros fournisseur d’ordinateurs aux entreprises. Avant d’être révélées dans un billet de blog il y a quelques jours, ces vulnérabilités ont été présentées à Dell dès début décembre. La marque a donc pris soin de réaliser un patch permettant de colmater ces cinq brèches d’un coup.

Selon Dell, il n’y a aucune preuve que cette vulnérabilité ait été exploitée par des pirates. Une information d’ailleurs également confirmée par SentinelOne. Il faut dire que pour mener à bien l’attaque, le pirate doit disposer d’un accès local à l’ordinateur, ce qui rend peu probable ce genre de manœuvre, même si, dans les faits, la faille date de 12 ans. Dans tous les cas, la firme incite en revanche à appliquer le correctif présent dans l’avis de sécurité DSA-2021-088.

 

Des faiblesses vieilles de 12 ans

« Il y a plusieurs mois, j’ai commencé à enquêter sur la sécurité du module du pilote de mise à jour du firmware version 2.3 [dbutil_2_3.sys], utilisé semble-t-il depuis au moins 2009 », a déclaré Kasif Dekel dans un billet de blog. « Aujourd’hui, le composant du pilote de mise à jour du firmware, qui prend en charge les actualisations via l’utilitaire Dell Bios, est préinstallé sur la plupart des machines Dell sous Windows et sur les machines Windows fraîchement installées qui ont été mises à jour. Des centaines de millions d’appareils Dell font l’objet de mises à jour régulières, tant pour les systèmes grand public que pour les systèmes d’entreprise », a expliqué le chercheur en sécurité.

« Cette enquête a débouché que la découverte de cinq vulnérabilités de haute gravité présents depuis 12 ans mais inconnus jusque-là. Ces vulnérabilités très critiques dans le pilote de Dell pourraient permettre à des attaquants d’élever les privilèges d’un utilisateur n’ayant pas la qualité d’administrateur à des privilèges en mode kernel », a-t-il encore déclaré. « Pendant toutes ces années, Dell a livré des utilitaires de mise à jour du BIOS avec le pilote vulnérable à des centaines de millions d’ordinateurs (ordinateurs de bureau, ordinateurs portables, notebooks, tablettes…) dans le monde entier », a-t-il ajouté.

 

nicolas75