Bug befällt über 30 Millionen Dell-PCs
Sicherheitsforscher warnen vor einer Sicherheitslücke in Dell-Computern. Der Bug befinde sich im BIOS der Software "SupportAssist". Das Problem soll 129 Modelle und über 30 Millionen Dell-Geräte betreffen.
Sicherheitsforscher haben eine erhebliche Schwachstelle in Dell-Computern ausgemacht. Wie "Bleepingcomputer" berichtet, handelt es sich dabei um einen Bug im BIOSConnect-Feature der Software "SupportAssist". Angreifer könnten damit aus der Ferne beliebige Schadcodes im BIOS (basic input/output system) der betroffenen Geräte ausführen.
SupportAssist, eine Software zur Optimierung der Computerleistung, sei auf den meisten Windows-Geräten von Dell vorinstalliert. BiosConnect dient der Wiederherstellung wichtiger Funktionen im Falle eines Festplattenfehlers oder einer Beschädigung, wie Dell auf seiner Website beschreibt.
Über 30 Millionen Geräte betroffen
"Ein solcher Angriff würde es Angreifern ermöglichen, den Boot-Prozess des Geräts zu kontrollieren und das Betriebssystem und die Sicherheitskontrollen auf höherer Ebene zu unterlaufen", zitiert "Bleepingcomputer" Forschende von Eclypsium, die den Bug entdeckt haben. Das Problem betreffe 129 verschiedene Modelle, darunter Laptops, Tablets und Desktop-PCs. Damit könnten über 30 Millionen Geräte einem Angriff ausgesetzt sein.
Die Forscher machten eine Schwachstelle, die zu einer unsicheren TLS-Verbindung vom BIOS zu Dell führt (CVE-2021-21571), sowie drei Überlaufschwachstellen (CVE-2021-21572, CVE-2021-21573 und CVE-2021-21574) aus. Zwei davon würden den Wiederherstellungsprozess des Betriebssystems betreffen, die dritte den Firmware-Update-Prozess. Laut Eclypsium seien alle drei Schwachstellen unabhängig voneinander und könnten allesamt für eine Fernausführung von Schadcodes im BIOS sorgen.
Eclypsium rät Besitzerinnen und Besitzern von betroffenen Geräten, für Updates des BIOS nicht das BIOSConnect-Feature in SupportAssist zu verwenden. Mehr Informationen zu den Schwachstellen gibt es im Bericht von Eclypsium, Dell listet auf seiner Website die betroffenen Geräte.
Unterwegs im Auto mit Mutti
Bundesrat prüft den Datenverkehr der Bundesverwaltung
Wie Datendiebe auf Beutejagd gehen
Schweizer Bevölkerung vertraut KI etwas mehr und dem Datenschutz etwas weniger
Wo die Stärken, Chancen und Risiken im Schweizer Cybersecurity-Ökosystem sind
Schweizer KMUs verlieren Vertrauen in ihre Cybersicherheit
Einladung zum Webinar: Wie KI, Robotik und Drohnen unser Vertrauen herausfordern
BACS präsentiert Konzept für koordinierte Bewältigung von Cyberangriffen
Cyberkriminelle geben sich als Visana aus
