Un fallo en un driver deja cientos de millones de equipos Dell en peligro

Una gran cantidad de equipos ensamblados por Dell corren riesgo de conceder acceso remoto con privilegios de administrador, a delincuentes que sepan aprovechar fallos en el código de un driver.

Parece ser que la firma Dell -gran productor mundial de consumibles informáticos y equipos portátiles y de sobremesa, así como servidores- tiene entre manos un problema de seguridad bastante serio. Hablamos de millones de equipos.

Vulnerabilidades en un driver perteneciente a Dell

Se trataría de 5 vulnerabilidades que han estado ocultas durante al menos 12 años a ojos del desarrollador. Afectan a un componente llamado dbutil_2_3.sys, que viene preinstalado en sus equipos. No es la primera vez que sucede algo así, en otros casos ha ocurrido con firmas como Acer, HP o Asus.

Si un atacante sabe dónde tiene que golpear, podrá hacerse con privilegios de administrador en el equipo. La manipulación del driver permitiría provocar cuelgues, fuga de información o toma del control total. Eso sí, la manipulación solo puede darse por parte de programas ya en ejecución en el equipo, o por medio de un usuario con sesión iniciada.

A pesar de que no hemos visto indicadores de que estos problemas hayan sido aprovechados hasta la fecha, con cientos de millones de empresas y usuarios vulnerables actualmente, es inevitable que los atacantes busquen atacar a víctimas que no apliquen el correspondiente parche.

Kasif Dekel, Sentinel One

Detalles técnicos

El citado driver se encarga de gestionar las actualizaciones de firmware de equipos Dell, aceptando llamadas de systema por parte de cualquier programa/usuario activo la máquina, sin aplicar listas de control de acceso ni roles diferenciados.

Especialmente preocupantes son las llamadas conocidas como IOCTL, que podrían dar orden al driver (a nivel de kernel o núcleo de sistema) para que mueva cierto contenido fuera de la ubicación en memoria actual hacia otra distinta.

Esto permite a un potencial atacante la lectura / escritura de RAM asignada al kernel. Si esto ocurre, el acceso del atacante será con unos permisos de sistema operativo, lo que permitirá conseguir permanencia en el sistema mediante la instalación de un rootkit, entre otras cosas.

Otro escenario posible es que se realicen lectura o escritura de puertos I/O x86, otorgando acceso directo al hardware, a más bajo nivel. En general y por diseño, contar con privilegios de tipo driver de sistema es uno de los peores escenarios, pues ciertas funciones IOCTL pueden abusarse de forma nativa.

Las vulnerabilidades se recogen en el boletín CVE 2021-21551, que puedes consultar para más información. Se resumen en lo siguiente:

• Dos fallos de tipo corrupción de memoria
• Dos fallos de tipo falta de validación de entrada
• Un error en la lógica del driver

Parche para los equipos afectados

Dell ha publicado un driver corregido, junto con una página de FAQ o preguntas frecuentes. Cualquier usuario de equipos Dell a nivel particular o corporativo, debería inmediatamente leerlo y aplicar el parche.

Los expertos que han descubierto la vulnerabilidad cuentan que, de momento, Dell no ha revocado el certificado para la firma de código que afecta al driver afectado. Se espera que se informe cuando esto ocurra.