错误的证书信任关系,导致3000万台戴尔设备面临重大风险

发布时间:2021-07-02 18:00:00

  根据外媒 MSPoweruser 消息,安全研究机构 Eclypsium 近日发现,戴尔的远程 BIOS 升级软件出现了一个严重漏洞,会导致攻击者劫持 BIOS 下载请求,并使用经过修改的文件进行攻击。这会使得黑客可以控制系统的启动过程,破坏操作系统。



  研究机构表示,戴尔电脑的这项漏洞影响了多达 129 种不同的戴尔笔记本电脑,此外还有台式机、一体机等设备,总数量超过 3000 万台。这一功能名称为 BIOS Conenct,大多数戴尔设备上都预装了这一功能,该服务使用不安全的 TLS 连接方式与戴尔服务器沟通,并存在三个漏洞,允许过接着将任何软件传送到设备上。

  其中,不安全的TLS连接是针对远程代码执行(RCE)漏洞进行利用的开端。

  当BIOSConnect试图连接到戴尔HTTP后端的服务器执行远程更新或恢复时,它使系统的BIOS(在启动过程中用于执行硬件初始化的固件)与戴尔后端服务联系。然后,它会协调一个更新或恢复过程。

  Eclypsium研究人员说,漏洞在于连接BIOS和后端服务器的TLS连接会接受任何有效的通配符证书。因此,那些拥有网络特权的攻击者可以拦截该连接,冒充戴尔官方并将攻击者控制的内容送回到受害设备上。

  根据分析:“验证dell.com证书的过程是首先从硬编码服务器8.8.8.8检索DNS记录,然后建立一个连接到戴尔的下载网站的会话,然而,BIOS中BIOSConnect功能中包含的任何一个内置证书机构所颁发的有效通配符证书都满足安全连接的条件,BIOSConnect将继续检索相关文件。BIOS中的CA根证书来自于Mozilla的根证书文件(certdata.txt)。"

  Eclypsium 称,三个漏洞是相互独立的,每一个都会导致 BIOS 中的恶意代码被执行。

  研究人员还建议,目前所有戴尔用户的电脑都需要更新 BIOS,但是不要使用 BIOS Connect 功能来执行此操作,应到官网进行下载。


  【内容来源:IT之家】

最新发布
1
相约乌镇·共话安全丨天威诚信将亮相2021年世界互联网大会“互联网之光”博览会
2
《贵州省人力资源社会保障厅关于推动落实〈电子劳动合同订立指引〉有关工作的通知》政策解读
3
惊!91%的工业企业容易遭受网络攻击
4
9月1日,《电信和互联网用户个人信息保护规定》颁布8周年啦
5
来啦!沪上首份《电子劳动合同操作指引》抢先出炉
6
《中华人民共和国个人信息保护法》审议通过
7
国务院发布《关键信息基础设施安全保护条例》 9月1日起施行
8
规范“人脸识别”,为盗刷者戴上“紧箍咒”
9
谁说电信诈骗“雨你无瓜”?受骗对象90后占6成!
10
《网络安全审查办法(修订草案征求意见稿)》解读
相关推荐
5.33亿Facebook用户的电话号码在黑客论坛被泄露
错误的证书信任关系,导致3000万台戴尔设备面临重大风险
谁说电信诈骗“雨你无瓜”?受骗对象90后占6成!
划重点!《人民法院在线诉讼规则》正在施行中
《网络安全审查办法(修订草案征求意见稿)》解读
ParkMobile泄密事件暴露了2100万用户的车牌数据和手机号码
不知道如何“不见面”招投标?天威诚信来帮你!
惊!91%的工业企业容易遭受网络攻击
企业数字化转型,数据安全是关键!
规范“人脸识别”,为盗刷者戴上“紧箍咒”