Dell-systeemdriver voor Windows blijkt al 12 jaar onveilig

Onderzoekers van security-leverancier SentinelOne hebben ontdekt dat Windows-systemen van Dell standaard zijn te hacken. Dit dankzij programmeerfouten in de dbutil_2_3.sys driver van Dell, die updates voor de firmware van computers mogelijk maakt. Deze software, die ook nuttig is voor beveiliging, bevat zelf vijf kwetsbaarheden waarlangs systemen zijn over te nemen.

De vijf gaten in Dells driversoftware geven aanvallers de mogelijkheid om dieper gaande rechten te verkrijgen op systemen (privilege escalation), en kan leiden tot IT-storingen (denial of service) of tot datadiefstal. Het gevaar van dit beveiligingsprobleem valt nog enigszins mee omdat voor succes misbruik eerst lokale toegang via een geauthenticeerd gebruikersaccount nodig is.

Ongecontroleerd op systeemniveau

De Dell-driver accepteert system calls van in wezen elke gebruiker en elk programma op de computer waarop het zelf draait. Deze aanroepen worden niet gecontroleerd op 'bevoegdheid', zoals gebruikersrechten of herkomst. Eén van de mogelijkheden die de firmware-updater biedt, is het verplaatsen van data in het systeemgeheugen. Daarmee zijn dan gegevens uit te lezen, maar ook eigen data te 'planten' om zo eigen code uit te voeren. Dit kan dan malware zijn zoals bijvoorbeeld ransomware of een rootkit.

De door SentinelOne ontdekte kwetsbaarheden zijn samengevoegd in één enkele CVE-melding: CVE-2021-21551, met een hoge score van 8,8. In de praktijk zijn er nog geen hackaanvallen gezien die gebruik maken van deze hackmogelijkheid, die sinds 2009 aanwezig is op Dell-computers. De verwachting is echter dat kwaadwillenden niet lang zullen wachten om deze Windows-ingang te benutten voor hun eigen doeleinden. Dell is op 1 december ingelicht en heeft inmiddels een fix beschikbaar gesteld.