昨天,信息安全研究公司SentinelLabs揭示了戴尔固件更新程序DBUtil 2.3存在12年的缺陷。自2009年以来,数亿台戴尔系统默认安装了易受攻击的固件更新程序。
五个高度缺陷的Sentinellabs发现并报告给戴尔潜伏dbutil_2_3.sys.模块,它们在单个CVE跟踪号码下已经四舍五入,cve - 2021 - 21551。有两个内存损坏问题和两个缺少输入验证问题,所有这些问题都可能导致本地特权升级和一个代码逻辑问题,这可能导致拒绝服务。
滥用这些漏洞的假设攻击者可以升级另一个进程或旁路安全控件的特权来直接写入系统存储。这提供了多个路由到本地内核级访问的最终目标 - 甚至高于管理员或“根”访问 - 整个系统的步骤。
这不是远程代码执行漏洞 - 坐在世界各地甚至咖啡店的攻击者无法直接使用它来损害您的系统。主要风险是,通过其他漏洞获得一个未经特权的shell的攻击者可以使用像本地的本地特权升级漏洞,以绕过安全控件。
由于Sentinellabs于2020年12月通知戴尔,公司拥有提供缺陷和缓解指示的文档,即现在,沸腾到“去除该实用程序”。一种替代品司机也可用,它应该自动安装在受影响的Dell系统上的下一个固件更新检查。
令人敬畏的博客文章(https://t.co/ilmbbn2ow5.) 经过@kasifdekel在@sentinelone.在戴尔司机中的多个漏洞@站在和@yarden_shafir首先发现在2019年发现回来@CrowdStrike也@kiquenissim在@ioactive.,@kasifdekel不久之后。
- Alex Ionescu(@aionescu)2021年5月4日
Sentinellabs'Kasif Dekel至少是第四个研究员,以便在Crowdstrike的Satoshi Tanda和Yarden Shafir和Ioactive's Enrique Nissim之后发现和报告这个问题。目前尚不清楚为什么戴尔需要两年和三个单独的Infosec公司的报告来修补问题 - 但是为了释放Crowdstrike的Alex Ionescu,最重要的是戴尔的用户最终将受到保护。
42岁的读者评论
最后编辑flx于5月5日星期三,2021 9:41 PM
这并不节省你 -
我们检查了一堆我们的各种型号的精度 - 而有些人有一些并且有些没有。我们的机器都没有戴尔基础图像(所有新鲜安装到图像)
这似乎取决于您以前如何更新BIOS和固件,比如是否下载了BIOS更新启动器或通过更新实用程序进行更新。
除了恶意软件包可以将易受攻击的驱动程序带入并安装它。驾驶员由Windows签名并信任。修复程序是安装更新的Dell驱动程序;Windows通常不会允许驱动程序降级。
这些“Fresh”安装仍在恢复图像上安装OEM包,如UEFI设置中指定的。
这是一个巨大的超级鱼问题吗也。
正确的!在美丽的XPS 2710上摇摆Linux !
啊。谢谢你,。我来到评论区,想看看是否有人知道情况是否如此。
我主要在我的系统上运行Linux,所以我不确定我是否需要担心。我在极少见的场合,靴子进入Windows但是这是一个vanilla安装,所以我怀疑任何戴尔特定的软件在那里。
即便如此,一旦我回到我的机器前,我会快速检查。谢谢你的澄清。
(编辑:阅读这里的其他一些评论表明,一个普通的Windows安装并不能保证受影响的软件不会溜进去…我会继续关注这个问题,以防我决定很快重启到Windows。虽然很严重,但考虑到我的使用模式,这听起来不像是一个我需要过度担心的简单漏洞)
最后编辑bvz_15月05日星期三,2021 9:38 PM
对不起,我现在会展示自己......
他们的通知说,这款产品将于5月10日上市。例如选项3 https://www.dell.com/support/kbdoc/en-u…nerability
看起来我明天有几件事要做。我们几乎完全推动了Dell硬件和ESX主机。我真的开始不喜欢2021
UEFI胶囊更新是一种标准化的方式,无需驾驶员。微软自开始以来一直在使用该机制,因此它也不是一个实验和未经证实的技术。
我要反其道而行之,将此归咎于微软:他们允许每个付费给CA的人编写内核模式代码,而这些代码反过来又被滥用于诸如此类或更糟的事情上。他们是时候更加严格地管理他们允许运行的东西了——有了WHQL计划,他们确实有了可以拉动的杠杆。
最后编辑Kaworu19862021年5月5日星期三晚上11:10
- C:\Users\ <用户名> \ AppData \ \ Temp
- C:\ Windows \ Temp
步骤B:选择dbutil_2_3。在按DELETE键的同时,按SHIFT键永久删除sys文件。UEFI胶囊更新是一种标准化的方式,无需驾驶员。微软自开始以来一直在使用该机制,因此它也不是一个实验和未经证实的技术。
我要反其道而行之,将此归咎于微软:他们允许每个付费给CA的人编写内核模式代码,而这些代码反过来又被滥用于诸如此类或更糟的事情上。他们是时候更加严格地管理他们允许运行的东西了——有了WHQL计划,他们确实有了可以拉动的杠杆。
作为必须经过Microsoft批准和签名的文件系统过滤器驱动程序的人,我可以向您保证,他们不会简单。有许多箍跳过,许多测试必须都必须成功地通过驾驶员。
UEFI胶囊更新是一种标准化的方式,无需驾驶员。微软自开始以来一直在使用该机制,因此它也不是一个实验和未经证实的技术。
我要反其道而行之,将此归咎于微软:他们允许每个付费给CA的人编写内核模式代码,而这些代码反过来又被滥用于诸如此类或更糟的事情上。他们是时候更加严格地管理他们允许运行的东西了——有了WHQL计划,他们确实有了可以拉动的杠杆。
作为必须经过Microsoft批准和签名的文件系统过滤器驱动程序的人,我可以向您保证,他们不会简单。有许多箍跳过,许多测试必须都必须成功地通过驾驶员。
然而,显然不够。
我是假设这不会在葡萄酒下工作,但是从Linux恶意软件透视窗口仿真已经得到了可怕的好。
编辑:正如tjukken所指出的,Wine不是一个模拟器。
在任何情况下,Wine都足以让Windows恶意软件在Linux上也成为一个问题。
最后编辑onkeljonas2021年5月6日星期四上午7:10
UEFI胶囊更新是一种标准化的方式,无需驾驶员。微软自开始以来一直在使用该机制,因此它也不是一个实验和未经证实的技术。
我要反其道而行之,将此归咎于微软:他们允许每个付费给CA的人编写内核模式代码,而这些代码反过来又被滥用于诸如此类或更糟的事情上。他们是时候更加严格地管理他们允许运行的东西了——有了WHQL计划,他们确实有了可以拉动的杠杆。
作为必须经过Microsoft批准和签名的文件系统过滤器驱动程序的人,我可以向您保证,他们不会简单。有许多箍跳过,许多测试必须都必须成功地通过驾驶员。
如果你是这件事小家伙, 是的。如果你有人像戴尔这样大量巨大,那么它可能是一个最好的形式。并且在公平性,您确实希望它对更新和更少的经过验证的演员来说是艰难的。您只是不希望它基本上丢弃同时对现有机构的监督。
看起来我明天有几件事要做。我们几乎完全推动了Dell硬件和ESX主机。我真的开始不喜欢2021
它是否真的影响了运行ESXi的Dell硬件?
UEFI胶囊更新是一种标准化的方式,无需驾驶员。微软自开始以来一直在使用该机制,因此它也不是一个实验和未经证实的技术。
我要反其道而行之,将此归咎于微软:他们允许每个付费给CA的人编写内核模式代码,而这些代码反过来又被滥用于诸如此类或更糟的事情上。他们是时候更加严格地管理他们允许运行的东西了——有了WHQL计划,他们确实有了可以拉动的杠杆。
作为必须经过Microsoft批准和签名的文件系统过滤器驱动程序的人,我可以向您保证,他们不会简单。有许多箍跳过,许多测试必须都必须成功地通过驾驶员。
然而,他们却允许游戏发行商在网络游戏中发布所谓的“反作弊”组件,就像一个例子。
UEFI胶囊更新是一种标准化的方式,无需驾驶员。微软自开始以来一直在使用该机制,因此它也不是一个实验和未经证实的技术。
我要反其道而行之,将此归咎于微软:他们允许每个付费给CA的人编写内核模式代码,而这些代码反过来又被滥用于诸如此类或更糟的事情上。他们是时候更加严格地管理他们允许运行的东西了——有了WHQL计划,他们确实有了可以拉动的杠杆。
作为必须经过Microsoft批准和签名的文件系统过滤器驱动程序的人,我可以向您保证,他们不会简单。有许多箍跳过,许多测试必须都必须成功地通过驾驶员。
然而,他们却允许游戏发行商在网络游戏中发布所谓的“反作弊”组件,就像一个例子。
SecuroM和Warden等不是WHQL,所以它不是微软“允许”它们,除了在管理员模式中安装的所有软件之外,如果它们在其上努力工作,则无法绕过任何限制。它肯定比在“美好的日子”中更困难。如果您不喜欢根过程有可能打破整个系统,可以切换到S模式,90%的Windows'攻击表面随着其定制性而消失。或者只是不要安装AAA游戏,这通常是Windows稳定性的臭名昭着的。
UEFI胶囊更新是一种标准化的方式,无需驾驶员。微软自开始以来一直在使用该机制,因此它也不是一个实验和未经证实的技术。
它预测了UEFI胶囊更新方法。事实上,它预示了在PC上使用UEFI(并且可以在固件处于传统模式时使用此更新方法?我不确定)。此外,它是CIM BIOS管理层的过滤器驱动程序(以便可以通过WMI类管理BIOS设置)
他们的通知说,这款产品将于5月10日上市。例如选项3 https://www.dell.com/support/kbdoc/en-u…nerability
它有点令人困惑,但是10月份的项目只是为了更新的工具,使其更容易删除任何当前版本的违规驱动程序。戴尔在修复过程中指的是“步骤1”。已经有其他方法可以解决 - 请参阅上面的链接中的“选项1和选项2”(我们通过我们的管理工具用于我们的戴尔的管理工具)。
对我来说更有关的是,他们不打算释放任何不包括所有古代PC的更新固件(表B“结束了使用受影响的固件更新实用程序包的服务戴尔平台”)。
因此,对于受影响的那些平台并具有违规的dbutil_2_3.sys存在(并因此是Windows信任它),可以防止他们无法包装此Dbutil_2_3.sys驱动程序的副本,我们需要替换或重新映像系统或找到一种方法来获取Windows不信任该驱动程序。例如我们还有一些Optiplex 3020仍在服务中 - 安装SSD,它们对其用例执行良好。该型号于2013年底发布,可能会在2015年初销售为新的。
我是假设这不会在葡萄酒下工作,但是从Linux恶意软件透视窗口仿真已经得到了可怕的好。
葡萄酒不是仿真器。
仍然找到了错误文件的实例。似乎他们的一些更新包丢弃了这个文件。
可以用/ s标志静默地提取补丁戴尔提供并运行。输出可以重定向到日志文件。让我在所有戴尔机器上运行这一点相对容易。
对于在以后重新安装的机器中,可以保持这一轮,这是明智的。
我是假设这不会在葡萄酒下工作,但是从Linux恶意软件透视窗口仿真已经得到了可怕的好。
葡萄酒不是仿真器。
是啊,你怎么说呢?“Windows兼容性层变得好得吓人”?
就个人而言,我将这个词作为“这件事在这件事上运行”的一般表达。
- C:\Users\ <用户名> \ AppData \ \ Temp
- C:\ Windows \ Temp
步骤B:选择dbutil_2_3。在按DELETE键的同时,按SHIFT键永久删除sys文件。我不是真的,而司机可能不会被“安装”它仍然可以从那里使用。
作为Packager / Installer Dell的用途或曾经写过它,没有写它以从自我提取时正确清除TEMP文件夹
不仅仅影响戴尔,它的安装人员/安装程序程序员故障
因此,为什么您看到有时留下安装人员的文件,以及为什么有时他们会在排除安装/重新安装/更新问题时清空临时文件夹
公平地说,这不是一个遥不可及的弱点。
一旦您对系统访问,所有投注都已关闭。这适用于那里的每个小工具。
所说的,我最不对这一点感到惊讶。大多数这些公司对待他们的软件,如费用而不是投资。
由于戴尔实际上提供了客户服务并将更新的驱动程序更新到任何过去的初始保修期?我对他们的传说(或者应该是失败的)更新者软件的经验是它几乎可以随时工作。
公平地说,这不是一个遥不可及的弱点。
一旦您对系统访问,所有投注都已关闭。这适用于那里的每个小工具。
所说的,我最不对这一点感到惊讶。大多数这些公司对待他们的软件,如费用而不是投资。
如今,许多漏洞都需要将多种漏洞链接在一起。不是远程漏洞意味着这不会是远程漏洞链中链中的第一步,但它仍然可能是最后一个。
UEFI胶囊更新是一种标准化的方式,无需驾驶员。微软自开始以来一直在使用该机制,因此它也不是一个实验和未经证实的技术。
我要反其道而行之,将此归咎于微软:他们允许每个付费给CA的人编写内核模式代码,而这些代码反过来又被滥用于诸如此类或更糟的事情上。他们是时候更加严格地管理他们允许运行的东西了——有了WHQL计划,他们确实有了可以拉动的杠杆。
作为必须经过Microsoft批准和签名的文件系统过滤器驱动程序的人,我可以向您保证,他们不会简单。有许多箍跳过,许多测试必须都必须成功地通过驾驶员。
然而,显然不够。
自2009年以来,数亿台戴尔系统默认安装了易受攻击的固件更新程序。
所以无论进行任何检查,那将至少在12年前。从那时起我们已经学到了很多东西。我不认为有一个命令授权重新检查以前批准的组件。
对不起,我现在会展示自己......
我笑了......有点
等等,我们工作时用的是戴尔精密笔记本....fffffffuuuuuuuuuuuu....
我是假设这不会在葡萄酒下工作,但是从Linux恶意软件透视窗口仿真已经得到了可怕的好。
编辑:正如tjukken所指出的,Wine不是一个模拟器。
在任何情况下,Wine都足以让Windows恶意软件在Linux上也成为一个问题。
Windows和病毒之间有什么区别?
病毒是由他们的创作者支持的。
旧的笑话但是......你最后一次听到病毒未能正确运行的时候是什么时候?您最后一次听说Windows无法正常运行的时间是什么时候?
他们的通知说,这款产品将于5月10日上市。例如选项3 https://www.dell.com/support/kbdoc/en-u…nerability
它有点令人困惑,但是10月份的项目只是为了更新的工具,使其更容易删除任何当前版本的违规驱动程序。戴尔在修复过程中指的是“步骤1”。已经有其他方法可以解决 - 请参阅上面的链接中的“选项1和选项2”(我们通过我们的管理工具用于我们的戴尔的管理工具)。
对我来说更有关的是,他们不打算释放任何不包括所有古代PC的更新固件(表B“结束了使用受影响的固件更新实用程序包的服务戴尔平台”)。
因此,对于受影响的那些平台并具有违规的dbutil_2_3.sys存在(并因此是Windows信任它),可以防止他们无法包装此Dbutil_2_3.sys驱动程序的副本,我们需要替换或重新映像系统或找到一种方法来获取Windows不信任该驱动程序。例如我们还有一些Optiplex 3020仍在服务中 - 安装SSD,它们对其用例执行良好。该型号于2013年底发布,可能会在2015年初销售为新的。
建立它们不是很有趣;但是(如果您有正确的SKU),WDAC可用于控制驱动程序Windows将信任/被允许执行以上以及超出未签名驱动程序的默认限制。
如果您需要用于将BIOS数据刮到WMI,则仍然是溶胶;或者在戴尔失去兴趣的情况下,可以在OS上进行的事情;但是,如果您愿意进行一些挫败,您可以根据“使用Microsoft-Blocked但Buggy Driver进行脏工作”方法来防止攻击;只要你自己不依赖那个特定的司机。
最佳案例(不受用户不受欢迎的常用外围设备主要是基本的USB类司机支持尝试将一些特殊的供应商酱儿滑入混音(例如,Logitech USB Dongles大多是USB HID,一些额外的东西支持他们的小重配实用程序;很多耳机大多是USB音频;但是有时有一个Goofy非标准固件更新界面或特殊团队按钮或Whatnot)是您只是白名单“我参考系统所需的驱动程序,签名,不低于我参考系统上的版本”;如果你不能成为那个苛刻的话,你至少可以刻录特定的已知错误驱动程序,即女士没有勇气撤销。
Windows 10是否包含通用固件更新驱动程序?我认为这是对特定机器的少数几个部分之一,或者其他微软本可以解决这个缺陷。
如果是这种情况,新的Windows安装可能没有任何作用。
你必须登录或者创建一个帐户评论。