4006-555-883

错误的证书信任关系,导致3000万台戴尔设备面临重大风险

发布时间:2021-07-02 18:00:00

  根据外媒 MSPoweruser 消息,安全研究机构 Eclypsium 近日发现,戴尔的远程 BIOS 升级软件出现了一个严重漏洞,会导致攻击者劫持 BIOS 下载请求,并使用经过修改的文件进行攻击。这会使得黑客可以控制系统的启动过程,破坏操作系统。



  研究机构表示,戴尔电脑的这项漏洞影响了多达 129 种不同的戴尔笔记本电脑,此外还有台式机、一体机等设备,总数量超过 3000 万台。这一功能名称为 BIOS Conenct,大多数戴尔设备上都预装了这一功能,该服务使用不安全的 TLS 连接方式与戴尔服务器沟通,并存在三个漏洞,允许过接着将任何软件传送到设备上。

  其中,不安全的TLS连接是针对远程代码执行(RCE)漏洞进行利用的开端。

  当BIOSConnect试图连接到戴尔HTTP后端的服务器执行远程更新或恢复时,它使系统的BIOS(在启动过程中用于执行硬件初始化的固件)与戴尔后端服务联系。然后,它会协调一个更新或恢复过程。

  Eclypsium研究人员说,漏洞在于连接BIOS和后端服务器的TLS连接会接受任何有效的通配符证书。因此,那些拥有网络特权的攻击者可以拦截该连接,冒充戴尔官方并将攻击者控制的内容送回到受害设备上。

  根据分析:“验证dell.com证书的过程是首先从硬编码服务器8.8.8.8检索DNS记录,然后建立一个连接到戴尔的下载网站的会话,然而,BIOS中BIOSConnect功能中包含的任何一个内置证书机构所颁发的有效通配符证书都满足安全连接的条件,BIOSConnect将继续检索相关文件。BIOS中的CA根证书来自于Mozilla的根证书文件(certdata.txt)。"

  Eclypsium 称,三个漏洞是相互独立的,每一个都会导致 BIOS 中的恶意代码被执行。

  研究人员还建议,目前所有戴尔用户的电脑都需要更新 BIOS,但是不要使用 BIOS Connect 功能来执行此操作,应到官网进行下载。


  【内容来源:IT之家】

最新发布
1
供应链采购平台建设难?可能是你没用过这套解决方案
2
人社部印发《数字人社建设行动方案》,数字赋能跑出人社服务“加速度”
3
研究机构对2023年网络安全趋势的三大预测
4
安全为宗,合规为镜|写在《中华人民共和国密码法》施行三周年之际
5
“安满周”开始啦!守护网络信息安全,一定少不了TA
6
国家能源局发布《电力行业网络安全管理办法》,国密算法证书应用迎来快速增长期
7
明年5月1日实施!这项国家标准直指关键信息基础设施安全……
8
全国多地依据《反电信网络诈骗法》实施处罚,如何防诈骗保安全?
9
跟随党的思想指引 共筑网络安全防线
10
Really?这几个行业最容易遭受网络攻击
相关推荐
供应链采购平台建设难?可能是你没用过这套解决方案
人社部印发《数字人社建设行动方案》,数字赋能跑出人社服务“加速度”