Mayıs 2021’de, Dell bilgisayar sürücülerinde CVE-2021-21551 olarak toplu olarak izlenen beş güvenlik açığı ifşa edildi ve düzeltildi 12 yıl boyunca sömürülebilir kaldıktan sonra.
Ancak, Dell’in düzeltmesi ek sömürüyü önleyecek kadar kapsamlı değildi ve güvenlik araştırmacılarının şu anda uyardıği gibi, gelecekteki Kendi Savunmasız Sürücünüzü Getirin (BYOVD) saldırıları için mükemmel bir adaydır.
“Dell’in güncellemesinin yazma-ne-nerede koşulu düzeltmediğini, yalnızca yönetici kullanıcılara sınırlı erişim olduğunu gördük. Microsoft’un güvenlik sınırları tanımına göre, Dell’in düzeltmesi güvenlik sorununu ortadan kaldırdı,” diyor Rapid7 araştırmacısı Jake Baines.
“Ancak, kısmen sabit sürücü yine de saldırganlara yardımcı olabilir.”
BYOVD nedir
BYOVD , ” kısaltmasıdır.Kendi Savunmasız Sürücünüzü Getirin“, tehdit aktörlerinin hedef makineye meşru ancak savunmasız bir sürücü yüklediği bir saldırı tekniğidir.
Bu güvenlik açığı bulunan sürücü daha sonra ayrıcalıkları yükseltmek veya hedef sistemde kod yürütmek için yararlanır.
Uzun yıllardır vahşi doğada yaygın olarak kullanılan bilinen bir tekniktir. Ne yazık ki, Microsoft daha katı Windows DSE (Sürücü İmza Zorlaması) kurallarıyla sorunu azaltmaya çalışsa da, sorun devam ediyor.
Aktörlerin imzalanmamış sürücüleri Windows çekirdeğine yüklemesini sağlayan en az dört açık kaynak açıklığı vardır ve bunlardan biri olan KDU, 14’ten fazla sürücü seçeneğini destekler.
Sadece buna dayanarak ve sofistike aktörler tarafından yazılan ve özel ve özel olarak kullanılan özel araçları hesaba katmadan, BYOVD’nin kalıcı bir tehdit olduğu ortaya çıkıyor.
Dell sorunu
Dell’in CVE-2021-21551’e karşı savunmasız olan ‘dbutil_2_3.sys’ sürücüsü BYOVD saldırılarını kolaylaştırabilir ve Rapid7 araştırmacılarının uyardığı gibi, bu son sürücü sürümleri için de geçerlidir.
Yazan yer koşulu dbutildrv2.sys 2.5 ve 2.7’de devam eder, bu nedenle saldırganların çekirdek kodu yürütme için toplam üç imzalı sürücü adayı vardır.
Güvenlik açığından yararlanmak için, tehdit aktörlerinin zaten yönetici ayrıcalıklarına ihtiyacı olacaktır, bu da bu güvenlik açığı hakkında endişelenmeyi aptalca hale getirebilir.
Ancak, gelişmiş tehdit aktörleri bu güvenlik açığını çekirdek modunda kod yürütmek için kullanabilir veya Windows’ta mümkün olan en yüksek ayrıcalık düzeyi olan 0’ı çalabilir.
Bu erişim düzeyiyle, tehdit aktörleri UEFI rootkit’leri dağıtabilir, sömürüyü ve rootkit yapıtlarını gizleyebilir veya Windows’ta istedikleri hemen hemen her komutu gerçekleştirebilir. Sonuçta, gelişmiş tehdit aktörleri algılamaya karşı oldukça dayanıklı saldırılar gerçekleştirebilir ve cihazlarda daha uzun olmasa da aylarca yerleşik kalmalarını sağlayabilir.
Araştırmacılar, dell sürücüsünün daha sonraki (2.5 ve 2.7) sürümlerini kullanarak bir LSA koruma-alt dönüştürme saldırısı uygulayan bir Metasploit modülü geliştirdiler.
“Artan ayrıcalıklara sahip bir saldırgan, rasgele PID’de işlem korumasını etkinleştirmek veya devre dışı bırakmak için modülü kullanabilir,” diye açıklıyor. Rapid7’nin raporu.
“Dell sürücüleri özellikle değerlidir, çünkü en yeni imzalama gereksinimleriyle uyumludurlar Microsoft tarafından verilmiştir.”
Soruna eklemek için, bu sonraki sürücü sürümlerinin engellenmesi olası değildir ve hedeflenen, gizli sömürü için kullanılabilir durumda kalır.

Kaynak: Rapid7
Sorunu giderme
Rapid7’ye göre, tehdit aktörleri hala dbutil_2_3.sys istismar etmekle sınırlıdır, bu nedenle 2.5 ve 2.7 sürümleri henüz kötüye kullanılmamaktadır.
Bununla birlikte, araştırmacılar bunun artık an meselesi olduğuna inanıyorlar, bu yüzden ek tespit ve azaltma çabaları gerekiyor.
Rapid7 konuyla ilgili Dell ile iletişime geçti ve güvenlik açığı zaten yönetici ayrıcalıkları gerektirdiği için, bilgisayar üreticisi aşağıdaki ifadeyle yanıt verdi:
“Ürün ekibiyle dikkatli bir şekilde değerlendirdikten sonra, bu konuyu bir saldırı gerçekleştirmek için gereken ayrıcalık seviyesi nedeniyle bir güvenlik açığı değil, bir zayıflık olarak kategorize ettik. Bu, Windows Sürücü Modeli’nde sağlanan kılavuzla uyumludur. Bu konuda bir güvenlik danışma belgesi yayınlamayı veya CVE yayınlamayı planlamuyoruz.”
Ancak, tehdit aktörleri ring 0 erişimi elde etmek için sürücüleri kullanmaya devam edebileceğinden, Rapid7 yöneticilere kötü amaçlı sürücülerin sistemlerine yüklenmesini engellemek için aşağıdaki güvenlik önlemlerini uygulamasını önerir:
- Microsoft’un sürücü engelleme kurallarını kullanma (hayırt şu anda Dell sürücülerini de dahil)
- Üçüncü taraf bir EDR çözümünde 2.3, 2.5 ve 2.7 için üç hashes kullanın
- Hiper Yönetici Korumalı Kod Bütünlüğünü (HVCI) etkinleştirme
Son olarak, Gönderme güvenlik açığı bulunan sürücülerin engelleme listesine eklenmesi için baskı uygulamak üzere Microsoft’a karşı.