4 Maja opublikowano DELL Security advisory o numerze DSA-2021-088, w z którym zamieszczono informację o wykrytej podatności w sterowniku dbutil_2_3.sys. Patch, który można pobrać z powyższej strony usuwa niebezpieczny sterownik z komputera.
W czym problem?
Sterownik jest reliktem z przeszłości i nie jest aktualnie wykorzystywany przez oprogramowanie DELL, jednak jest dołączany do paczki oprogramowania znajdującej się na większości komputerów tej marki. Zadaniem tego komponentu jest(była) obsługa aktualizacji firmware’u, jednak według odkrywcy podatności, ostatni raz odnotowano użycie tego sterownika w roku 2009…
Podatność oznaczona jest numerem CVE-2021-21551 i posiada punktację CVSS 8.8, co oznacza ryzyko wysokie/krytyczne. Tak naprawdę podatność może zostać wykorzystana na kilka sposobów, jednak z uwagi na fakt że wszystkie prowadzą do tego samego efektu (podniesienie uprawnień) i dotyczą tylko jednego komponentu, nadano jej jeden zbiorczy identyfikator.
Usunięcie podatnego sterownika powinno być wystarczające do zabezpieczenia swojej maszyny. To, co jeszcze powinno mieć miejsce, i jest w rękach producenta, to wycofanie certyfikatu dla podatnego sterownika, dzięki czemu nie można by go było instalować na współczesnych systemach operacyjnych, oczywiście o ile ktoś nie zmieniał domyślnych ustawień systemowych.
Szczegóły techniczne
Luki bezpieczeństwa wynikają z poniższych problemów:
- Jedno z wywołań IOCTL umożliwia kompletną kontrolę parametrów przekazywanych do funkcji memmove() – jest to tzw. write-what-where. Atakujący może wykorzystać podatność do modyfikacji struktury tokenu procesu, którego uprawnienia docelowo mogą w ten sposób zostać podniesione.
- Kolejny problem dotyczy możliwości kontroli operacji In/Out (wejścia oraz wyjścia). Według odkrywcy podatności, umożliwia to np. bezpośredni zapis do dysku twardego z poziomu drivera (np. przez port ATA), a dalej np. nadpisanie jakiejś biblioteki ładowanej przez uprzywilejowany proces
Jeszcze bardziej kompleksowy, techniczny opis podatności znajdziecie poniżej – na stronie firmy, w której pracuje znalazca podatności – artykuł jest w języku angielskim.