Cinq failles importantes, mais non critiques, ont été découvertes en 2019 par SentinelLabs.
Réunies sous la référence CVE-2021-21551, elles peuvent toutes déboucher sur une élévation locale des privilèges. Elles ne permettent donc pas une exploitation distante, encore moins automatisée.
Elles sont cependant considérées comme sévères, car elles peuvent permettre de remonter localement jusqu’aux droits de l’espace noyau, soit davantage que ce qu’un compte administrateur ou root peut obtenir.
Dans un scénario d’attaque courant, ces failles seraient utilisées en complément d’au moins une autre qui, elle, serait exploitable en distance. Un enchaînement qui débloquerait les droits noyau pour l’attaquant, avec les dégâts que l’on imagine.
Ces failles résident dans DBUtil 2.3 et ont donc 12 ans. Dell s’en sert via un pilote (dbutil_2_3.sys) responsable des mises à jour de firmwares sur ses ordinateurs. Conséquence, des centaines de millions de machines sont concernées.
Le constructeur a été averti en décembre dernier. Les failles ont depuis été colmatées et Dell fournit maintenant des instructions.
Il y a essentiellement deux grandes étapes. D’abord, supprimer le fichier incriminé. La société fournit un petit outil pour automatiser l’opération.
Ensuite, vérifier dans Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent ou autre si des mises à jour sont disponibles. Une version corrigée de DBUtil sera alors récupérée. On peut la télécharger manuellement depuis cette page.
Commentaires (8)
#1
Les serveurs Dell sont touchés ?
#1.1
J’ai l’impression que ça touche uniquement un driver du logiciel d’update, du coup, si tu n’es pas sous Windows sur ton serveur, ou que tu n’as pas ce pilote, tu n’as pas de soucis je pense.
On installe rarement (déjà Windows sur un serveur directement, sans hyperviseur) et surtout les logiciels tiers comme ça sur les serveurs.
#1.2
Si on peut installer directement Windows sur un serveur, faire du Hyper-V dans ESXi, c’est pas la joie :)
Mais bon, y a iDRAC pour faire les maj, pas besoin d’un outil sur l’OS.
#1.3
Sur notre serveur Dell, on a un hyperviseur. ;)
Mais c’est Proxmox (KVM).
Donc on est safe à priori, merci !
#2
C’est ce que je pense aussi. Si tes machines tournent sous autre chose que Windows (par exemple Vsphere ou Proxmox), même à partir d’une VM tournant sous Windows, je doute que cela soit un souci. Si ton serveur Windows (Datacenter avec Hyper-V) l’utilitaire n’est pas installé, il y a évidemment aucun risque lié à cela.
C’est l’utilitaire le souci, pas l’OS.
Ce qui me pose souci, c’est les centaines de machines portable Dell Latitude que l’on a installé avec une bonne partie d’entre elles l’utilitaire présent …
#2.1
M’en parle pas, j’ai 200 Lattitude 3590 à patcher -_-
#3
Si vous êtes à jour en windows update ou l’outil de dell, vous êtes déjà en 2.5. Ca se voit dans le gestionnaire de périphériques > DellUtils > DBUtilsDrv2 Device > la version est 0.0.2.5.
Nota : ne vous embêtez pas à chercher le fichier à la main, l’outil cité en fin d’article fait la recherche pour vous.
#4
sur le site de Dell, il me dit que mon PC acheté il y a bientôt 6 ans n’est pas concerné, ça m’a étonné