DSA-2021-106: Atualização de segurança da plataforma Dell Client para várias vulnerabilidades nos recursos BIOSConnect e HTTPS Boot como parte do BIOS do Dell Client

Código proprietário - CVEs	Descrição	Pontuação básica de CVSS	String de vetor do CVSS
CVE-2021-21571	A pilha https do BIOS UEFI da Dell, utilizada pelos recursos BIOSConnect e HTTPS Boot da Dell, contém uma vulnerabilidade de validação de certificado inadequada. Um invasor remoto não autenticado consegue explorar essa vulnerabilidade usando um ataque do tipo person-in-the-middle, o que pode levar a uma negação de serviço e à adulteração do payload.	5.9	CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572, CVE-2021-21573, CVE-2021-21574	O recurso BIOSConnect da Dell contém uma vulnerabilidade de estouro de buffer. Um usuário administrador mal-intencionado autenticado com acesso local ao sistema pode explorar essa vulnerabilidade para executar código arbitrário e ignorar as restrições de UEFI.	7.2	CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

Descrição dos recursos BIOSConnect e HTTPS Boot da Dell:

• O recurso BIOSConnect da Dell é uma solução de pré-inicialização usada para atualizar o BIOS do sistema e recuperar o SO (sistema operacional) usando o SupportAssist OS Recovery em plataformas Dell Client. Nota: O recurso BIOSConnect requer um usuário fisicamente presente para iniciá-lo. Somente um subconjunto de plataformas com o recurso BIOSConnect é afetado. Consulte a tabela na seção Mais informações para conhecer as plataformas afetadas.
• O recurso HTTPS Boot da Dell é uma extensão das especificações de inicialização HTTP UEFI para inicializar a partir de um servidor HTTP(S). Nota: Esse recurso não é configurado por padrão e requer um usuário fisicamente presente com direitos de administrador do sistema operacional local para realizar a configuração. Além disso, é necessário um usuário fisicamente presente para iniciar o recurso quando usado com redes sem fio. Nem todas as plataformas contêm o recurso HTTPS Boot. Consulte a tabela na seção Mais informações para obter uma lista das plataformas lista afetadas.

As vulnerabilidades acima foram relatadas como uma cadeia de vulnerabilidades. A pontuação cumulativa da cadeia de vulnerabilidades é: Alta - 8,3 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Explorar a cadeia requer a realização de outras etapas:

• Para explorar a cadeia de vulnerabilidade no BIOSConnect, um agente mal-intencionado deve executar outras etapas separadamente antes de uma exploração bem-sucedida, inclusive: comprometer a rede de um usuário, obter um certificado confiável por uma das autoridades de certificação integradas da pilha https do BIOS UEFI da Dell e aguardar até que um usuário que esteja fisicamente presente no sistema use o recurso BIOSConnect.
• Para explorar a vulnerabilidade no HTTPS Boot, um agente mal-intencionado deve executar outras etapas separadamente antes de uma exploração bem-sucedida, inclusive: comprometer a rede de um usuário, obter um certificado confiável por uma das autoridades de certificação integradas da pilha https do BIOS UEFI da Dell e aguardar até que um usuário que esteja fisicamente presente no sistema altere a ordem de inicialização e use o recurso HTTPS Boot.

Além de aplicar as correções abaixo, os clientes podem proteger-se ainda mais ao seguir as melhores práticas de segurança, usando apenas redes protegidas e impedindo o acesso local e físico não autorizado aos dispositivos. Para garantir mais proteção, os clientes também devem ativar recursos de segurança da plataforma, tais como Secure Boot (ativado por padrão para plataformas Dell com Windows) e BIOS Admin Password.

Nota: Se o recurso Secure Boot estiver desativado, isso poderá afetar a possível gravidade associada à vulnerabilidade de segurança CVE-2021-21571.

A CVE-2021-21573 e a CVE-2021-21574 foram corrigidas nos componentes relacionados ao BIOSConnect nos servidores back-end da Dell em 28 de maio de 2021 e não exigem nenhuma ação adicional do cliente.

A CVE-2021-21571 e a CVE-2021-21572 exigem atualizações do BIOS do client Dell para solucionar as vulnerabilidades. Consulte a tabela na seção Mais informações para determinar a versão do BIOS do client Dell corrigida que deve ser aplicada a seu sistema. Há várias maneiras de atualizar o BIOS de seu client Dell. Se você normalmente usa o BIOSConnect para atualizar o BIOS, a Dell recomenda usar um método diferente para aplicar as atualizações do BIOS, como:

• Usar uma das soluções de notificação da Dell para serem notificado e para fazer download de atualizações do BIOS automaticamente quando ficarem disponíveis.
• Acessar o site de drivers e downloads para obter atualizações sobre os produtos aplicáveis. Para saber mais, acesse o artigo da base de conhecimento da Dell sobre as atualizações do BIOS e faça download da atualização para o seu computador Dell.
• Como atualizar o BIOS pelo menu de inicialização única da tecla F12.

Para aqueles que não podem aplicar as atualizações do BIOS imediatamente, a Dell também forneceu uma redução provisória para desativar os recursos BIOSConnect e HTTPS Boot. Consulte a seção abaixo.