安全研究機構 Eclypsium 發現,DELL 的遠端 BIOS 升級軟件存在一個嚴重的漏洞,這會導致黑客能劫持 BIOS 的下載請求,並以修改過的檔案策動攻擊。這會也可讓黑客操控系統的啟動過程,並進一步破壞操作系統。
出現問題的軟件為 BIOSConnect,它是 DELL 的 SupportAssistant 一部分,預載於大部份 DELL 的 Windows 設備上。約莫估計受影響的設備多達 3,000 萬台,包括 Notebook、Desktop PC 和 Tablet 裝置。Eclypsium 的研究人員表示說:「透過這漏洞,將使攻擊者能夠控制設備的啟動過程,並影響操作系統和更高層的安全設定。」
BIOSConnect 提供的服務利用了一個不安全的 TLS 連接,從 BIOS 到工具程式共有三個溢出漏洞,當中兩個溢出安全漏洞影響操作系統的 Resume 過程,而另一個則影響 Firmware 更新過程,這三個漏洞皆為獨立的,每個漏洞都可導致 BIOS 中的任意代碼執行。
所有的 DELL 的設備皆有需要進行 BIOS 更新任務,但研究人員建議不要使用 DELL BIOSConnect 來執行此操作,應到官網直接進行 BIOS 下載。
