Se han revelado cinco nuevas debilidades de seguridad en Dell BIOS que, si se explotan con éxito, podrían conducir a la ejecución de código en sistemas vulnerables, uniéndose a las vulnerabilidades de firmware descubiertas recientemente en InsydeH2O de Insyde Software y HP Unified Extensible Firmware Interface (UEFI).
Registradas como CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420 y CVE-2022-24421, las vulnerabilidades de alta gravedad tienen una calificación de 8,2 sobre 10 en el sistema de puntuación CVSS.
«La explotación activa de todas las vulnerabilidades descubiertas no puede ser detectada por los sistemas de monitoreo de integridad del firmware debido a las limitaciones de la medición del Módulo de plataforma segura (TPM)», la empresa de seguridad de firmware Binarly, que descubrió las últimas tres fallas, dijo en un escrito.
«Las soluciones de atestación del estado del dispositivo remoto no detectarán los sistemas afectados debido a las limitaciones de diseño en la visibilidad del tiempo de ejecución del firmware».
Todas las fallas se relacionan con vulnerabilidades de validación de entrada incorrecta que afectan el modo de administración del sistema (SMM) del firmware, lo que permite efectivamente que un atacante local autenticado aproveche la interrupción de administración del sistema (SMI) para lograr la ejecución de código arbitrario.
El modo de administración del sistema se refiere a un modo de CPU de propósito especial en microcontroladores x86 que está diseñado para manejar funciones de todo el sistema como administración de energía, control de hardware del sistema, monitoreo térmico y otro código patentado desarrollado por el fabricante.
Cada vez que se solicita una de estas operaciones, se invoca una interrupción no enmascarable (SMI) en tiempo de ejecución, que ejecuta el código SMM instalado por el BIOS. Dado que el código SMM se ejecuta en el nivel de privilegio más alto y es invisible para el sistema operativo subyacente, el método hace que sea propicio para el abuso implementar implantes de firmware persistentes.
Varios productos de Dell, incluidos Alienware, Inspiron, Vostro y Edge Gateway serie 3000, se ven afectados, y el fabricante de PC con sede en Texas recomienda a los clientes que actualicen su BIOS en el «primera oportunidad.»
«El descubrimiento continuo de estas vulnerabilidades demuestra lo que describimos como ‘fallas repetibles’ en torno a la falta de saneamiento de entrada o, en general, prácticas de codificación inseguras», dijeron los investigadores de Binarly.
«Estas fallas son una consecuencia directa de la complejidad de la base de código o la compatibilidad con componentes heredados que reciben menos atención de seguridad, pero que aún se implementan ampliamente en el campo. En muchos casos, la misma vulnerabilidad se puede corregir en múltiples iteraciones y aún así, la complejidad de la superficie de ataque deja brechas abiertas para la explotación maliciosa».