戴尔客户端固件更新实用程序包和软件工具随附的驱动程序 DBUtilDrv2.sys(2.5 和 2.6 版)包含一个访问控制不足的漏洞,可能会导致权限提升、拒绝服务或信息泄露。此漏洞需要先获取本地验证的用户访问权限才能被利用。
常见问题:
问:此漏洞与 DSA-2021-088 中解决的之前的 DButil 漏洞有何不同?
答:DSA-2021-088 解决了 dbutil_2_3.sys 驱动程序中的漏洞 (CVE-2021-21551)。DSA-2021-152 解决了 DBUtilDrv2.sys 驱动程序 2.5 和 2.6 版中的漏洞 (CVE-2021-36276)。
问:此漏洞是否影响受 DSA-2021-088 影响的所有相同产品?
答:否,在 DSA-2021-088 发布时服务终止的产品不会受到 DBUtilDrv2.sys 驱动程序中此漏洞的影响。但是,DSA-2021-088 表 A 中标识的所有受支持的戴尔平台都可能受到此漏洞的影响,因为 DSA-2021-088 中的建议是应用此 DBUtilDrv2.sys 驱动程序作为其修正措施。DSA-2021-088 期间支持的六 (6) 个平台已达到服务终止期,现在列在 DSA-2021-152 的表 B 中。
问:“DBUtil Removal Utility”是否会
查找并缓解 2.5 和 2.6 版的 DBUtilDrv2.sys 驱动程序,以及 DSA-2021-088 中所述的较旧版本的 dbutil_2_3.sys 驱动程序?或者,我是否需要分别运行“DBUtil Removal Utility”和“戴尔安全公告更新 – DSA-2021-088”实用程序?
答:是的,“DBUtil Removal Utility”将查找并缓解 DSA-2021-088 和 DSA-2021-152 中所述的所有版本的 DBUtilDrv2.sys 和 dbutil_2_3.sys 驱动程序。您无需单独运行此实用程序的先前版本。
问:如何知道是否会受到影响?
答:如果符合以下情况,您可能会受到影响:
- 已对系统应用 BIOS、Thunderbolt、TPM 或坞站固件更新;或
- 当前或之前使用 Dell Command Update、Dell Update、Alienware Update、Dell System Inventory Agent、Dell Platform Tags、Dell BIOS Flash 实用程序或适用于家用和商用 PC 的 Dell SupportAssist
或者,如果您按照戴尔安全公告 DSA-2021-152 步骤 2.2.2 中的选项 A 所述手动运行实用程序,该实用程序将指示是否已在系统上找到并修正受影响的 2.5 或 2.6 版的 DBUtilDrv2.sys 驱动程序。要查看具有受影响固件更新实用程序包和软件工具的平台的列表,或了解有关此漏洞及其缓解方法的更多信息,请参阅戴尔安全公告
DSA-2021-152
问:我正在使用 Linux 的操作系统。此问题会影响我吗?
答:不会,只有在受影响的戴尔平台上运行 Windows 操作系统时,此漏洞才会影响用户。
问:有什么解决方法?如何修正此漏洞?
答:所有客户都应执行戴尔安全公告
DSA-2021-152“2. 修正步骤”中定义的步骤。
问:为什么戴尔安全公告 DSA-2021-152“2. 修正步骤”中列出的修正步骤。
问:步骤 2.1 和 2.2 用于立即修正此漏洞。步骤 2.3 重点介绍如何在安排的下一次固件更新期间获取修正的 DBUtilDrv2.sys 驱动程序(2.7 版)。对于每个步骤,戴尔均提供不同的选项,您应该选择最适合自身情况的选项。
问:我从未更新过固件,也没有用过 Dell Command Update、Dell Update、Alienware Update、Dell System Inventory Agent、Dell Platform Tags、Dell BIOS Flash 实用程序或适用于家用和商用 PC 的 Dell SupportAssist;我仅通过 Windows 更新来获得 BIOS 更新。我会受到影响吗?
答:不会,Windows Update 不会安装受影响的 DBUtilDrv2.sys 驱动程序。(版本 2.5 和 2.6)
问:我不确定是否受到影响。我能做些什么来确保我的计算机不易受到攻击?
答:您应执行戴尔安全公告 DSA-2021-152 2.2 和 2.3 部分中定义的步骤。
问:
是否会通过 Dell Command Update、Dell Update、Alienware Update 或 SupportAssist
推送“DBUtil Removal Utility”答:可以。请参阅戴尔安全公告更新 — DSA-2021-152 的 2.2.2 部分。但是,客户应根据自己的环境执行“2. 修正步骤”中定义的所有步骤。
问:我在系统上运行了“DBUtil Removal Utility”以删除 2.5 或 2.6 版的 DBUtilDrv2.sys 驱动程序,重新启动系统后,我仍在系统上看到该版本的 DBUtilDrv2.sys 驱动程序。这是为什么?
答:如果:
- 在删除 2.5 或 2.6 版的 DBUtilDrv2.sys 驱动程序之前,您未更新“修正”部分的步骤 2.2.1 中列出的所有受影响的产品,或者
- 在删除驱动程序后运行受影响的固件更新实用程序,
2.5 或 2.6 版的 DBUtilDrv2.sys 驱动程序可能会重新引入到您的系统中。
要避免或修正这些情况:首先确保更新戴尔安全公告
DSA-2021-152 的步骤 2.2.1 中列出的所有受影响的产品(如适用),然后执行步骤 2.2.2(即使您之前已删除 2.5 或 2.6 版的 DBUtilDrv2.sys 驱动程序)。
问:在应用戴尔安全公告 DSA-2021-152 的步骤 2.2.2 中的一个选项后,我无法删除 2.5 或 2.6 版的 DBUtilDrv2.sys 驱动程序,应该怎么办?
答:如果:
- 在删除 2.5 或 2.6 版的 DBUtilDrv2.sys 驱动程序之前,您未更新“修正”部分的步骤 2.2.1 中列出的所有受影响的产品,或者
- 在删除驱动程序后运行受影响的固件更新实用程序,
2.5 或 2.6 版 DBUtilDrv2.sys 驱动程序可能在使用中并被操作系统锁定,从而阻止其被删除。
要修正这种情况:首先确保更新戴尔安全公告
DSA-2021-152 的步骤 2.2.1 中列出的所有受影响的产品(如适用),然后执行步骤 2.2.2(即使您之前已删除 2.5 或 2.6 版的 DBUtilDrv2.sys 驱动程序)。
问:运行“DBUtil Removal Utility”是否会安装修正的驱动程序?
答:不会。修正版本的驱动程序将在您下一次向系统应用修正的 BIOS、Thunderbolt、TPM 或坞站固件,或运行修正版本的 Dell Command Update、Dell Update、Alienware Update、Dell System Inventory Agent、Dell Platform Tags、Dell BIOS Flash 实用程序或适用于家用和商用 PC 的 SupportAssist 时安装到系统中。
问:我将如何获得修正版本的驱动程序?
答:修正版本的 DBUtilDrv2.sys 驱动程序(2.7 版)将在您下一次向系统应用修正的 BIOS、Thunderbolt、TPM 或坞站固件,或运行修正版本的 Dell Command Update、Dell Update、Alienware Update、Dell System Inventory Agent、Dell Platform Tags、Dell BIOS Flash 实用程序或适用于家用和商用 PC 的 SupportAssist 时安装到系统中。
问:我是否可以手动删除 2.5 或 2.6 版的 DBUtilDrv2.sys 驱动程序?
答:可以,请按照戴尔安全公告
DSA-2021-152 步骤 2.2.1(根据具体情况)和步骤 2.2.2 的选项 C 进行操作。
问:如果想要手动删除易受攻击的驱动程序文件,那么如何知道我正在删除正确的文件?
答:使用下列 SHA-256 校验和值,以确认您删除正确的文件:
DBUtilDrv2.sys:"2E6B339597A89E875F175023ED952AAAC64E9D20D457BBC07ACF1586E7FE2DF8"
dbutildrv2.cat: "4B93FC56DB034BFEBB227B1E2AF1B5E71CC663FFEFFE3B59618F634C22DB579D"
DBUtilDrv2.inf:"4E2AA67DAAB4C4ACAC3D6D13490F93D42516FA76B8FDA87C880969FC793A3B42"
DBUtilDrv2.sys:"4720B202C4E6DD919222FE7B1F458705C0ED1CCC17EC4BA72A31EEF8559B87C7"
dbutildrv2.cat: "2A354D4D83F21702AF61FFAAC1ACC385C77AB9ADCBB721EABD4CA812D6108D5F"
DBUtilDrv2.inf:"6E8A9FA6A0354B1189A36EB9E29673050BCACB003DE8D15916491E6231E4BC1C"
问:删除 2.5 或 2.6 版的 DBUtilDrv2.sys 驱动程序是否会导致其他硬件或软件的互操作性问题?
答:不会,DBUtilDrv2.sys 驱动程序是一个实用程序驱动程序,在固件更新实用程序包(Dell Command Update、Dell Update、Alienware Update、Dell System Inventory Agent、Dell Platform Tags、Dell BIOS Flash 实用程序或适用于家用和商用 PC 的 Dell SupportAssist)中用于更新 PC 的驱动程序、BIOS 和固件。其他硬件或软件并不使用它。
问:我是企业客户,该怎么办?
答:执行戴尔安全公告
DSA-2021-152“2. 修正步骤”中列出的修正步骤
。我们很明白,目前存在不同的基础架构配置和场景,其复杂程度各不相同。如果您有任何疑问或需要帮助,请联系您的戴尔客户代表和/或服务代表。
以下步骤说明了企业客户在其环境中部署“
DBUtil Removal Utility”以完成步骤 2.2.2,从而从多个系统中删除 2.5 或 2.6 版的 DBUtilDrv2.sys. 驱动程序的一种方式。
- 执行以下部署前检查。
- 更新部署在您的企业中的受影响产品。请参阅戴尔安全公告 DSA-2021-152“2. 修正步骤”部分,更新 Dell Command Update、Dell Update、Alienware Update、Dell System Inventory Agent、Dell Platform Tags、Dell BIOS Flash 实用程序或适用于家用和商用 PC 的 SupportAssist。
注:此部署前步骤可防止在“
DBUtil Removal Utility”运行期间锁定 DBUtilDrv2.sys 驱动程序文件或在该实用程序运行后重新引入驱动程序文件的情况。
- 请按照以下步骤,使用 Microsoft Endpoint Configuration Manager (MECM) Configuration Item (CI) 从您的环境中删除受影响的 DBUtilDrv2.sys 驱动程序文件。
- 设置 CI 以执行 PowerShell 脚本。
- 磁盘大小/利用率、磁盘类型等因素可能会导致扫描整个磁盘驱动器,从而导致超时或错误。应至少扫描通常存储文件的以下目录。如果选择此路径,请更新相关变量,例如“%windir%\temp”和“%localappdata%\temp”。
- 在 PowerShell 脚本中,提供 SHA-256 校验和值以验证要删除的文件,
- DBUtilDrv2 (v2.5)
DBUtilDrv2.sys:"2E6B339597A89E875F175023ED952AAAC64E9D20D457BBC07ACF1586E7FE2DF8"
dbutildrv2.cat: "4B93FC56DB034BFEBB227B1E2AF1B5E71CC663FFEFFE3B59618F634C22DB579D"
DBUtilDrv2.inf:"4E2AA67DAAB4C4ACAC3D6D13490F93D42516FA76B8FDA87C880969FC793A3B42"
DBUtilDrv2.sys:"4720B202C4E6DD919222FE7B1F458705C0ED1CCC17EC4BA72A31EEF8559B87C7"
dbutildrv2.cat: "2A354D4D83F21702AF61FFAAC1ACC385C77AB9ADCBB721EABD4CA812D6108D5F"
DBUtilDrv2.inf:"6E8A9FA6A0354B1189A36EB9E29673050BCACB003DE8D15916491E6231E4BC1C"
- 使用 PowerShell 脚本创建 CI 后,一个配置基准将被创建并部署到“所有系统”集合中。根据您的 MECM 配置,您可能需要根据不同的计算机机箱、型号等考虑事项来分隔部署。
- 设置“集合”以记录成功的完成。例如,您可以为未返回错误代码或未检测到文件的系统创建“合规”集合,并为返回错误代码的系统创建“不合规”集合。
- 在运行 CI 后,请查看不合规集合。您可能会发现以下实例:
- 具有上述受影响产品的更早版本的系统
- 需要重新启动的系统
- 由于超时而未能执行 CI 的系统
- 选择“必需”(而不是“可用”)部署方法使其成为必需项。
MSI 退出代码 |
描述 |
错误代码 |
0 |
操作已成功完成。 |
ERROR_SUCCESS |
1603 |
安装过程中出现致命错误。 |
ERROR_INSTALL_FAILURE |
3010 |
需要重新启动才能完成安装。这不包括运行 ForceReboot 操作的安装。Windows Installer 版本 1.0 中没有此错误代码。 |
ERROR_SUCCESS_REBOOT_REQUIRED |
问:受影响的 Dell BIOS Flash 实用程序与受影响的 Dell BIOS 更新实用程序有何不同?
答:Dell BIOS 更新实用程序包含平台的具体 BIOS 更新,并且会将更新应用到平台。Dell BIOS Flash 实用程序仅供企业用于应用 BIOS 更新,但不包含具体的 BIOS 更新。有关详细信息,请参阅
BIOS 安装实用程序知识库文章。
问:我使用的是受支持的平台,并计划在我的系统上更新驱动程序、BIOS 或固件。但是,要么没有包含适用于我的平台的修正 dbutil 驱动程序的更新后软件包,要么我需要应用未修正的软件包。我应该怎么做?
答:在使用易受攻击的固件更新软件包更新 BIOS、Thunderbolt 固件、TPM 固件或坞站固件后,您必须在更新后立即执行戴尔安全公告
DSA-2021-152 的步骤 2.2,以便从系统中删除 DBUtilDrv2.sys(2.5 或 2.6 版)驱动程序。即使以前执行过此步骤,现在也必须执行此操作。
问:我使用的是服务终止的平台,并计划在系统上更新驱动程序、BIOS 或固件;但是,目前没有其中包含已修复的 dbutil 驱动程序的更新后的程序包。我应该怎么做?
答:在使用易受攻击的固件更新软件包更新 BIOS、Thunderbolt 固件、TPM 固件或坞站固件后,您必须在更新后立即执行戴尔安全公告
DSA-2021-152 的步骤 2.2,以便从系统中删除 DBUtilDrv2.sys(2.5 或 2.6 版)驱动程序。即使以前执行过此步骤,现在也必须执行此操作。
问:是否有另一种方法来更新 BIOS,而无需让自己暴露于易受攻击的 2.5 或 2.6 版 DBUtilDrv2.sys 驱动程序?
答:有的,可使用 F12 一次性启动菜单来启动 BIOS 更新。2012 年之后制造的大多数戴尔计算机均具有此功能,您可以通过将计算机启动至 F12 一次性启动菜单来进行确认。如果您看到“BIOS FLASH UPDATE”列示为启动选项,则戴尔计算机支持这种使用一次性启动菜单来更新 BIOS 的方法。此支持文档概述了详细步骤:
通过 F12 一次性启动菜单刷新 BIOS。
问:据戴尔所知,此漏洞是否被利用?
答:据我们所知,目前此漏洞没有被恶意行为者利用
问:恶意行为者是否能够利用此漏洞?
答:恶意行为者首先需要获得 PC 访问权限,例如通过网络钓鱼、恶意软件或由您授予远程访问权限。为了帮助保护自己免受恶意行为者的攻击,永远不要同意将计算机远程控制权限提供给任何不请自来的联系人(例如,通过电子邮件或电话等方式)来解决问题。
据我们所知,目前此漏洞没有被恶意行为者利用。
问:如果我的系统上存在易受攻击的 2.5 或 2.6 版的 DBUtilDrv2.sys 驱动程序,系统是否始终面临风险?
答:否。当管理员运行某一个受影响的固件更新实用程序包(Dell Command Update、Dell Update、Alienware Update、Dell System Inventory Agent、Dell Platform Tags、Dell BIOS Flash 实用程序或适用于家用和商用 PC 的 Dell SupportAssist)时,2.5 或 2.6 版的 DBUtilDrv2.sys 驱动程序必须首先加载到内存中。一旦 2.5 或 2.6 版 DBUtilDrv2.sys 驱动程序在计算机重新启动后从内存中取消加载或从计算机中删除,该漏洞就不再是一个问题。
问:此漏洞可以远程利用吗?
答:不能,此漏洞无法远程利用。恶意行为者首先必须获得(本地)经过身份验证的访问权限才能访问您的设备。
问:此 DBUtilDrv2.sys. 驱动程序是否已预先加载在我的系统上?
答:没有,戴尔计算机发货时没有预装 DBUtilDrv2.sys. 驱动程序,Dell Command Update、Dell Update、Alienware Update 或适用于家用和商用 PC 的 Dell SupportAssist 也没有预先加载 DBUtilDrv2.sys. 驱动程序。该 DBUtilDrv2.sys. 驱动程序通过启动固件更新进程按需安装和加载,然后在系统重新启动后卸载。
提醒:安装易受攻击的 DBUtilDrv2.sys(2.5 版)驱动程序文件后,即使卸载驱动程序,它们也可能会保留在系统上。
问:戴尔是否对所有出厂的新 PC 都进行这方面的修复?
答:是的,在 2021 年 7 月 19 日或之后生产的随附 Dell Command Update、Dell Update、Alienware Update 或适用于家用 PC 的 Dell SupportAssist 的所有系统均已得到修正。
问:这是戴尔独有的漏洞吗?
答:是的,此特定漏洞会影响 2.5 和 2.6 版的戴尔特定驱动程序(DBUtilDrv2.sys 驱动程序)。
问:我的戴尔 PC 上的数据是否由于报告的漏洞而被泄露?
答:否。恶意行为者需要被授予对您计算机的访问权限(例如,通过网络钓鱼、恶意软件或请求者的远程访问),您才会受到此漏洞影响。
据我们所知,目前此漏洞尚未被恶意行为者利用。
为保护自己免受恶意行为者的攻击:
- 如果您未先联系戴尔以获得服务或支持,则永远不要同意将计算机的远程控制权限交给任何不请自来的联系人(例如,通过电子邮件或电话等方式)来解决问题。
- 戴尔不会通过电话意外联系客户,请求与这个已报告漏洞相关的 PC 访问。
- 如果您尚未联系戴尔寻求服务或支持,请不要提供对 PC 的访问权限,也不要向不请自来的呼叫者提供任何个人数据。如果您不确定所接到的电话,请挂断并立即联系戴尔支持。
问:我还可以采取哪些措施来帮助保护数据?
答:与使用任何设备一样,请始终保持警惕,并利用以下顶级技巧来帮助保护您的数据:
- 在您未预料到的电子邮件中单击链接或附件时,请务必小心,否则可能会通过指示您的任何帐户、订单或其他交易存在问题,试图欺骗您打开链接或附件,并进一步诱使您单击某个提供来帮助解决问题的链接。这可能是恶意行为者试图获得对您设备的访问权限。
- 永远不要将计算机的远程控制权限交给任何不请自来的呼叫者以解决问题,即使他们表示自己是从戴尔公司或另一个代表戴尔的服务提供商打电话给您,情况也是如此。如果您没有首先联系戴尔以请求电话呼叫,戴尔不会拨打意想不到的电话来请求远程访问。
- 永远不要将您的财务信息透露给任何试图向您收取费用来修复计算机的不请自来的联系人。
- 永远不要使用任何类型的礼品卡或电汇来支付戴尔或任何其他技术支持服务的费用。戴尔绝不会要求您采用这些付款方式。