Dell装置的管理软件SupportAssist再爆4漏洞，将允许骇客自远端执行程式

锁定企业装置安全性的资安业者Eclypsium本周披露，Dell装置内建管理软件SupportAssist的BIOSConnect元件含有4个安全漏洞，虽然这4个漏洞个别的CVSS风险评分并不高，但串连之后CVSS风险评分即高达8.3，将允许骇客假冒为Dell.com并自远端执行任意程式，波及多达129款的Dell装置，涵盖台式电脑、笔电与平板电脑，全球至少有3,000万台Dell装置含有相关漏洞。

SupportAssist为预装在Dell&Windows装置上的管理程式，而BIOSConnect则是Dell的预启动解决方案，可用来更新BIOS，以及支援SupportAssist的操作系统回复功能。此外，BIOSConnect可让系统上的BIOS，透过网络存取Dell的后端服务，以协调更新或回复程序。

不过，Dell强调，BIOSConnect需要实际的使用者来启用，也只有部分具备BIOSConnect功能的平台会受到影响。

Eclypsium所发现的4个安全漏洞，分别是CVE-2021-21571、CVE-2021-21572、CVE-2021-21573与CVE-2021-21574，其中，CVE-2021-21571漏洞是因BIOSConnect及Dell HTTPS Boot所使用的UEFI BIOS https堆叠，含有不适当的凭证验证漏洞，可能造成中间人攻击而导致服务阻断或酬载窜改，其CVSS风险评分为5.9。

其它三个漏洞则皆肇因于BIOSConnect所存在的缓冲区溢位漏洞，允许具备管理权限及本地端存取能力的使用者，绕过UEFI限制而执行任意程式，它们的CVSS风险评分为7.2。

然而，Eclypsium指出，当串连这4个漏洞之后，将允许骇客于预先启动的环境中，自远端执行任意程式，这些恶意程式可能变更操作系统的初始状态，违反硬件及固件层的通用假设，并破坏操作系统的安全控制，像是假冒为Dell.com并以BIOS/UEFI 等级来执行任意程式，使其CVSS风险评分升高至8.3。在Eclypsium发布漏洞资讯之际，Dell已修补了上述4个漏洞。

 相关资料  Dell SupportAssist安全漏洞官方公告（2021-06-24）