Sicherheitsforscher warnen: Treiber gefährdet hunderte Millionen Dell-Computer
Es gibt wichtige Sicherheitsupdates für Windows-PCs von Dell. Angreifer könnten Computer attackieren und Kernel-Rechte erlangen.
(Bild: Shutterstock)
Sicherheitsforscher von SentinelOne sind auf einen verwundbaren Treiber gestoßen, der unzählige Dell-Computer mit Windows 7, 8.1 und 10 angreifbar macht. Nach erfolgreichen Attacken könnten sich Angreifer Kernel-Rechte aneignen und so die Kontrolle übernehmen. Derzeit gebe es noch keine Hinweise auf Attacken.
Die Sicherheitsforscher geben in einem Beitrag an, dass der problematische Treiber dbutil_2_3.sys seit mindestens 2009 auf ihnen zufolge hunderten Millionen Dell-Computern zum Einsatz kommt. Der Treiber installiert sich, wenn man die Tools Alienware Update, Dell Command Update, Dell Update, Dell System Inventory Agent oder Dell Platform Tags nutzt, um beispielsweise das BIOS auf den aktuellen Stand zu bringen. Linux-Computer sind Dell zufolge nicht betroffen.
Die Sicherheitslücke (CVE-2021-21551) ist mit dem Bedrohungsgrad "hoch" eingestuft. Das Hauptproblem ist, dass der Treiber Input/Output-Control-Anfragen ohne jegliche Access-Control-List-Anforderungen (IOCTL) von nicht-privilegierten Nutzern verarbeitet. Da der Treiber mit weitreichenden Rechten arbeitet, könnten sich Angreifer mit präparierten IOCTL-Anfragen Kernel-Rechte aneignen, warnen die Sicherheitsforscher. Dafür müssen sie aber bereits Zugriff auf den PC haben.
Treiber sofort entfernen!
In einer Warnmeldung versichert Dell, den Treiber mittlerweile repariert zu haben. Dort listet der Computer-Hersteller auch betroffene Modelle auf. Besitzer von solchen Computern sollten sicherstellen, dass sie den Treiber umgehend vom System entfernen. Das funktioniert durch die Installation eines Tools. Wer unsicher ist, ob der verwundbare Treiber in seinem Windows-System vorhanden ist, kann das Tool einfach installieren. Das hat Dell zufolge keine negativen Auswirkungen. Anschließend sollten Betroffene sicherstellen, dass sie aktuelle Versionen der Update-Tools installiert haben. Abgesichert ist beispielsweise die Version Dell System Inventory Agent 2.6.0.0.
In einem FAQ-Beitrag hat Dell die Antworten auf die wichtigsten Fragen zum Sicherheitsproblem zusammengetragen. Dort finde man unter anderem Infos zu abgesicherten Versionen und Vorgehensweisen, wie man betroffene Computer schützt.
Update 5.Mai.2021, 14:00: Versionsnummer des betroffenen Treibers dbutil_2_3.sys korrigiert.
(des)
