Sikkerhedsforskere rapporterede om flere nye sårbarheder i Dell BIOS, der kunne føre til fjernudførelse af kodeangreb. Det nævnte, meget alvorlige sårbarheder spores som CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420, og CVE-2022-24421, med en sværhedsgrad på 8.2 ud af 10 i henhold til CVSS-systemet.
Dell BIOS sårbarheder (CVE-2022-24415)
Ifølge Dells rådgivning, her er sårbarhederne og deres beskrivelser:
CVE-2022-24415: Dell BIOS indeholder en ukorrekt inputvalideringssårbarhed. En lokal godkendt ondsindet bruger kan potentielt udnytte denne sårbarhed ved at bruge en SMI til at opnå vilkårlig kodeudførelse under SMM.
CVE-2022-24416: Dell BIOS indeholder en ukorrekt inputvalideringssårbarhed. En lokal godkendt ondsindet bruger kan potentielt udnytte denne sårbarhed ved at bruge en SMI til at opnå vilkårlig kodeudførelse under SMM.
CVE-2022-24419: Dell BIOS indeholder en ukorrekt inputvalideringssårbarhed. En lokal godkendt ondsindet bruger kan potentielt udnytte denne sårbarhed ved at bruge en SMI til at opnå vilkårlig kodeudførelse under SMM.
CVE-2022-24420: Dell BIOS indeholder en ukorrekt inputvalideringssårbarhed. En lokal godkendt ondsindet bruger kan potentielt udnytte denne sårbarhed ved at bruge en SMI til at opnå vilkårlig kodeudførelse under SMM.
CVE-2022-24421: Dell BIOS indeholder en ukorrekt inputvalideringssårbarhed. En lokal godkendt ondsindet bruger kan potentielt udnytte denne sårbarhed ved at bruge en SMI til at opnå vilkårlig kodeudførelse under SMM.
Effekten af sikkerhedssvaghederne anses for at være høj, med berørte Dell-produkter, inklusive Alienware, Inspiron, Vostro line-ups, og Edge Gateway 3000 Serie. Producenten anbefaler kunderne at opgradere deres BIOS så hurtigt som muligt for at undgå enhver udnyttelse.
Sårbarhederne blev opdaget af Binarly-forskere, der siger, at “den igangværende opdagelse af disse sårbarheder viser, hvad vi beskriver som 'gentagelige fejl’ omkring manglen på input sanitet el, i almindelighed, usikker kodningspraksis.”
Opdagelsen af fejlene er specifikt tilskrevet JiaWei Yin (yngweijw) for rapportering af CVE-2022-24415 og CVE-2022-24416 og Binarly efiXplorer Team for rapportering af CVE-2022-24419, CVE-2022-24420, og CVE-2022-24421.
Det er bemærkelsesværdigt, at sidste år, flere alvorlige fejl var reporteret for at påvirke BIOSConnect-funktionen i Dell Client BIOS, en funktion i SupportAssist, der giver brugerne mulighed for at udføre fjerngendannelse af operativsystemet eller opdatere enhedens firmware.