Windows-Treiber mit Schwachstellen (CVE-2021-21551) gefährdet Millionen Dell-Systeme

Windows[English]In einem Treiber, der die letzten 12 Jahre auf Millionen Windows-Systemen von Dell im Consumer- und Unternehmensbereich installiert wurde, hat man gleich mehrere Schwachstellen entdeckt. Diese Schwachstellen ermöglichen es einem Angreifer eine Privilegien-Erhöhung durchzuführen. Mit anderen Worten: Durch die Schwachstelle (CVE-2021-21551) im sogenannten DBUtil-Windows-Treiber von Dell sind jetzt die betreffenden PCs, All-in-One- und 2-in-1-Systeme sicherheitstechnisch gefährdet.


Anzeige

Dell hat vor wenigen Stunden dazu eine Sicherheitswarnung DSA-2021-088: Dell Client Platform Security Update for an Insufficient Access Control Vulnerability in the Dell dbutil Driver sowie diese FAQ herausgegeben und schreibt dazu.

Dell dbutil_2_3.sys driver contains an insufficient access control vulnerability which may lead to escalation of privileges, denial of service, or information disclosure. Local authenticated user access is required.

Die Sicherheitslücken (CVE-2021-21551) besteht im Treiber dbutil_2_3.sys und wurde mit dem Schweregrad 8 (von 10) bewertet. Die Treiberdatei kann praktisch auf jedem Dell-System mit  Windows-Betriebssystem installiert worden sein, sobald die Firmware-Update-Utility-Pakete, Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent oder Dell Platform Tags verwendet wurden. Das schließt auch die Verwendung einer Dell Benachrichtigungslösung zur Aktualisierung von Treibern, BIOS oder Firmware für das System ein. Der anfällige Treiber (dbutil_2_3.sys) wurde auf zwei Arten an betroffene Systeme geliefert:

  • über betroffene Firmware-Update-Utility-Pakete und
  • über Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent oder Dell Platform Tags

Da gilt auch dann, wenn Nutzer eine beliebige andere Benachrichtigungslösung von Dell verwenden, um Treiber, BIOS oder Firmware auf Ihrem System zu aktualisieren.

Die Schwachstellen CVE-2021-21551

Kasif Dekel, ein Sicherheitsforscher bei der Cybersecurity-Firma SentinelOne, hat die unter CVE-2021-21551 gelisteten nachfolgenden Schwachstellen entdeckt, und in einem Blog-Beitrag angesprochen, aber nicht alle Details dazu veröffentlicht.

  • CVE-2021-21551: Local Elevation Of Privileges #1 – Memory corruption
  • CVE-2021-21551: Local Elevation Of Privileges #2 – Memory corruption
  • CVE-2021-21551: Local Elevation Of Privileges #3 – Lack of input validation
  • CVE-2021-21551: Local Elevation Of Privileges #4 – Lack of input validation
  • CVE-2021-21551: Denial Of Service – Code logic issue

Die Ausnutzbarkeit der Schwachstellen wird nicht als kritisch angesehen, da ein Angreifer, der sie ausnutzt, den Computer zuvor kompromittiert haben muss. Die Schwachstellen ermöglicht es jedoch Bedrohungsakteuren und Malware, sich auf dem infizierten System zu halten.

Ein Fix steht zur Verfügung

Dell hat die Schwachstellen im dbutil-Treiber in einer neuen Version behoben und gleichzeitig Dienstprogramme für Firmware-Updates für unterstützte Plattformen unter Windows 10, Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent und Dell Platform Tags veröffentlicht. Um sich bestmöglich zu schützen, empfiehlt Dell, den Treiber dbutil_2_3.sys von den Systemen zu entfernen. Wird der Dell System Inventory Agent verwendet, ist es wichtig, vor der Treiber-Deinstallation zunächst die neueste verfügbare Version (2.6.0.0 oder höher) hier herunterzuladen. Dann ist eine der drei nachfolgend genannten Optionen zu befolgen:

  • ein Paket mit einem Fix installieren, das das BIOS, die Thunderbolt-Firmware, die TPM-Firmware oder die Dock-Firmware enthält;
  • oder jeweils Dell Command Update, Dell Update oder Alienware Update aktualisieren;
  • oder die neueste Version von Dell System Inventory Agent oder Dell Platform Tags installieren,

Dann wird auch der aktualisierte Dell dbutil-Treiber wird auf dem betreffenden System installiert. Weitere Informationen, auch zum Entfernen des fehlerhaften Treibers, finden Sie in der Dell  Sicherheitswarnung DSA-2021-088. (via Bleeping Computer)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows 10, Windows 8.1, Windows Server abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

26 Antworten zu Windows-Treiber mit Schwachstellen (CVE-2021-21551) gefährdet Millionen Dell-Systeme

  1. Dat Bundesferkel sagt:

    "Die Ausnutzbarkeit der Schwachstellen wird nicht als kritisch angesehen, da ein Angreifer, der sie ausnutzt, den Computer zuvor kompromittiert haben muss."

    https://www.spiegel.de/international/world/catalog-reveals-nsa-has-back-doors-for-numerous-devices-a-940994.html

    Paßt ja. Vor allem in Verbindung mit:

    "Die Schwachstellen ermöglicht es jedoch Bedrohungsakteuren und Malware, sich auf dem infizierten System zu halten."

    Aluhut an
    Die Meldung zur Schließung der Sicherheitslücke könnte man also auch anderweitig verstehen: "Wir verwenden nunmehr andere Optionen zur Infiltration, da diese hier nun einigen bekannt wurden."
    Aluhut aus

  2. Anonymous sagt:

    Ich habe das schon immer deinstalliert bzw. nach der Neuinstallation mit eigenem Medium gar nicht erst installiert. Gerade mit Windows 10 gibt es dafür auch keinen Grund mehr. Treiber und Bios Updates kommen per Windows Update und damit per WSUS. Selbst unter Linux erhält man Bios Updates für die Dell Systeme! Warum zusätzliche Software installieren die eigentlich nur Nachteile haben kann, denn sie ist zusätzlich und wie man hier sieht bringt sie zusätzliche Schwachstellen mit. Ich bleibe immer noch beim KISS Prinzip. Treiber soviel wie möglich Standardtreiber von Windows verwenden, dann gibts auch weniger Probleme beim Update und Upgrade :)

    • Dietmar sagt:

      Wenn du im Unternehmen mit WSUS + Scup oder ConfigMgr Software Updates die Treiber deiner Dell-Rechner aktualisieren willst, musst du den Dell System Inventory Agent installieren, sonst funktioniert das nicht. Und genau der bringt den Treiber auch leider mit.

    • Uwe Bieser sagt:

      Ist mir jetzt unbekannt, dass BIOS Updates für Dell System über Microsoft updates laufen. Ich habe schon einige Dell PCs eingerichtet, aber nach einem frisch aufgesetzten Windows + zwangsbeglücktem Treiberupdate war das BIOS nie aktualisiert worden, obwohl es nicht dem aktuellen Stand entsprach.
      Ich hoffe auch zutiefst, dass Microsoft sich aus den BIOS-Updates meiner Produkte raushält und ich kann mir auch nicht vorstellen das Microsoft sich eine Haftung für fehlgeschlagene BIOS-Updates antun möchte.

      Es nervt ja schon genug, dass MS bei einer frischen Installtation die eigenen Treiberupdates aufzwingt, obwohl die Hersteller das besser könnten und u. U. auch angepasste Treiber einsetzen. Bei Dell Systemen wird z. B. auch eine bestimmte Reihenfolge nach einer Neuinstalltion empfohlen.

  3. micha45 sagt:

    Das ist doch ein Paradebeispiel dafür, wie so manche Gerätehersteller ihren Verpflichtungen nachkommen und wie ernst sie ihre zahlende Kundschaft nehmen.

    Mich wundert es nur, dass Dell nicht Microsoft für die Schlamperei verantwortlich gemacht hat. Das ist ja bei anderen Herstellern oft so üblich und die einfachste Lösung. Da erzielt man dann obendrein bei dem einschlägig bekannten Klientel den entsprechenden Effekt.

  4. 1ST1 sagt:

    Da ist auch noch ein schönes DLL-Hijacking in Windows versteckt, schön aufpassen, dass man keine oci.dll in windows\system32 liegen hat, wenn man keine Software von Oracle einsetzt…

    https://www.bleepingcomputer.com/news/security/new-windows-pingback-malware-uses-icmp-for-covert-communication/

  5. Herr IngoW sagt:

    Die Überschrift suggeriert irgendwie, das es ein Windows-Problem ist.

    Das ganze ist wohl eher ein Problem von "Dell".

  6. Scyllo sagt:

    Für mich ist das wieder mal Kauderwelsch…

    Ich nutze einen Dell XPS 15 L502X Laptop (gekauft 2012).

    Der genannten Treiber dbutil_2_3.sys (wofür genau war der denn nun?) soll laut Deskmodder hier zu finden sein:

    C:\Benutzer\\AppData\Local\Temp
    C:\Windows\Temp

    Da finde ich ihn jedoch nicht!

    Bin ich nun also betroffen oder nicht?

    PS: An anderer Stelle fand ich, dass es ein BIOS-Treiber sein soll; benötigt denn das BIOS selbst einen Treiber?

    • 1ST1 sagt:

      Naja, es ist in sofern ein BIOS-Treiber, als dass ein Update-Tool auf den BIOS-Chip zugreifen muss. Und Hardware-Zugriffe lässt Windows nur über für die Sicherheitsstufe Ring 0 freigeschaltete Treiber zu. Dass der Treiber in Temp-Verzeichnis liegt, lässt darauf schließen, dass er nur temporär ins System eingebunden wird, was ja immerhin ein Zeichen ist, dass das keine Dauerbedrohung ist, und das jeweilige Update-Tool den Treiber eigentlich nach Benutzung wieder entfernen sollte, was scheinbar nicht immer klappt. Also, aus der Doku von Dell heraus würde ich sagen, ja Mist gebaut, aber der Schaden dürfte sich stark in Grenzen halten, der Treiber ist nur vorhanden, wenn der Updateprozess vergisst, ihn wieder zu löschen.

      • Scyllo sagt:

        Ich habe nun diesen Link gefunden, unter dem Dell 2 Listen mit wohl betroffenen Geräten und "Lösungen" bereitstellt:

        https://www.dell.com/support/kbdoc/de-de/000186019/dsa-2021-088-dell-client-platform-security-update-for-dell-driver-insufficient-access-control-vulnerability

        Mein XPS 15 L502X finde ich dort dennoch nicht (kann kaum glauben, dass es nicht betroffen sein sollte…). Eventuell ist es zu alt, um dort aufzutauchen?

        Auf dem genannten System (Win 7 Home Premium 64 Bit) ist zwar ebenfalls "Dell SupportAssist" installiert, welches aber von mir nie (auch nicht automatisch) zur Installation irgendwelcher Treiber oder Firmware genutzt wurde.

        Dennoch bin ich nun genauso schlau wie vorher auch…

        Dell selber gibt die Auswirkung der Sicherheitslücke als "High" an.

        • 1ST1 sagt:

          Völlig egal, welches Modell es ist, sofern seit 2009 eines der genanneten Dell-Tools installiert wurde. Dann könnte der Treiber anwesend sein. Removal-Tool laufen lassen und fertig.

          • Scyllo sagt:

            Wenn das Tool mal mit meinem Laptop-Modell kompatibel wäre….

            Ich hoffe, dass mir ab 10. Mai eine Lösung über Dell SupportAssist angeboten wird:

            Option 3 (available by May 10, 2021): If you use one of the Dell notification solutions, you can use it to obtain and run the Dell Security Advisory Update – DSA-2021-088 utility.

            Obwohl das ja wieder so aussieht, als würde mir dann darüber das Dell Security Advisory Update – DSA-2021-088 utility angeboten – aber dieses ist ja eben nicht mit meinem Laptop-Modell kompatibel…..

      • Uwe Bieser sagt:

        " To prevent reintroduction of a vulnerable dbutil driver, obtain and run a remediated firmware update utility package, Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent, or Dell Platform Tags as applicable"

        Das klingt zunächst nach einem Treiber. Allerdings ist auf meinen 5285-12 dieser trotz der Verwendung auch nicht vorhanden. Ebenso fehlt diese auf einem Latitude E5470. Auf beiden Systemen läuft comand update.

    • Uwe Bieser sagt:

      Nach meinem Verständnis ist ihr System dann auch nicht betroffen. (Ich gehe davon aus, dass Sie in den Exploreroptionen die Sichtbarkeit versteckter Ordner und Dateien eingestellt haben.)

      Ich habe diesen Treiber nun auf einem Latitude 7285 (2 in 1) im Verzeichnis Windows\temp entdeckt und gelöscht.
      Etwas kurios ist dabei schon, dass dieses Notebook in der Liste B für End of Service Life Dell platforms gelistet ist, obwohl es noch nicht einmal 4 Jahre alt ist. Ich hoffe, das bezieht sich lediglich auf die Ersatzteilversorgung und vermutlich ist der Akku der Tastatur dieses Systems damit gemeint.
      Dieses Notebook, ist ein Paradebeispiel für ein fehlerhaftes Marketingkonzept. Konzeptionell war es zunächst einmal besser als die Surface Tablet Clones mit den dünnen nachgiebigen Andocktastauren. Zudem sehr gut verarbeitet, aber mit einer trägen 4 Watt CPU und zu einem Preis für ein MacBook. Angesichts des hohen Preises frage ich mich aber schon, was man sich bei Dell denkt, einfach nach 3 Jahren den Verkauf der Tastaturakkus einzustellen, zumal diese aufgrund der Entladepriorisierung als erster der beiden Akkus dahin gerafft werden.
      Es gibt auch keine Derivate, die dem Standard des Originalakkus entsprechen. Einige chinesische Anbieter bieten zwar ein Modell an, (es handelt sich aber stets um den gleichen Akku) jedoch passt dieser weder in Bezug auf Befestigungslöcher noch passt die Bohrung der Befestigungsschraube für den Verbindungsstecker. Die Bohrung ist zu groß und die Schraube rutscht durch. Ja aus China kommen durchaus gute Produkte, aber auch skrupellos schlechter Mist.

  7. Sascha sagt:

    Dieses Bild sagt mehr als tausend Worte zum Zustand von Software bei Dell:

    https://ibb.co/HBFW0Sm

    • Günter Born sagt:

      Danke für den Screenshot – habe mal schnell drüber geschaut. Mit SHA1 und abgelaufenem Zertifikat hätte der Treiber doch eigentlich gar nicht mehr in Windows geladen werden dürfen – sagt mein Bauchgefühl – oder habe ich was verbuxelt?

      • Sascha sagt:

        siehe unten, das von mir markierte ist nicht der kritische Treiber

        aber trotzdem bekomm ich da irgendwie ein komisches Gefühl wenn so etwas durch die Zertifizierung geht

        wird Dell den 3er Zweig ihrer Produkte Dell Command Update zB nochmal aktualisieren? Oder nur den 4er? Der 3er ist für non WMI ACPI kompatible Geräte zuständig (wiederum natürlich nicht für alle, wäre ja auch zu einfach, aber für viele) und ja wir haben noch Geräte im Einsatz die vor 2016 angeschafft worden sind aber wenn man sich die Timeline des Vorfalls anschaut dann habe ich da arge Bedenken:

        Disclosure Timeline

        1, Dec, 2020 – Initial report
        2, Dec, 2020 – Dell replied with ticket numbers
        8, Dec, 2020 – Dell requested more information
        9, Dec, 2020 – Dell request additional information
        22, Dec, 2020 – Dell replied that a fix should be available in mid April
        12, Jan, 2021 – Dell replied that some of the vulnerabilities will not be fixed since the product is EOL
        27, Jan, 2021 – Dell requested more time
        16, Mar, 2021 – Dell updated that they are cooperating with Microsoft and a fix should be available by the end of April
        29, Mar, 2021 – Dell requested more time, confirmed that an update should be available by the end of April
        22, Apr, 2021 – Dell initiated a zoom conference call to discuss the blog post release
        04, May, 2021 – Initial research released to the public

    • Scyllo sagt:

      Ich verstehe leider gar nix mehr.

      Auch laut Dell (neben der Angabe bei Deskmodder) soll sich der Treiber hier befinden:

      C:\Benutzer\\AppData\Local\Temp
      C:\Windows\Temp

      Laut Deinem Screenshot ist er unter C:\Windows\System32\drivers zu finden (warum gibt Dell dies nicht an?).

      Aber auch da finde ich ihn nicht. Ebensowenig finde ich ihn nach einer Suche in der registry.

      Ich hoffe, dies ist ein "gutes" Zeichen.

      • Sascha sagt:

        @Scyllo:

        mein Screenshot bezieht sich auf das von Dell gemeldete Probleme, siehe Registrypfad. Der von Dell gemeldete Treiber liegt im Service "DBUtil_2_3" und scheint auch 2009 ordentlich signiert worden zu sein und sogar mit Zeitstempel

        Da aber der von mir markierte Service/Treiber ähnlich lautete, habe ich mir den dann natürlich mal angeschaut und das dann so gesehen, da denk ich mir wie kann das durch die Prüfung gehen und veröffentlicht werden? Oder haben die nach MS nochmal selbst signiert? Kann ich mir nicht vorstellen aber mit Treiberzertifizierung habe ich nichts zu tun…

        Beim Reg-Pfad ist mir eine kleine Unachtsamkeit unterlaufen, aktuelle Konfig ist natürlich unter HKLM\SYSTEM\CurrentControlSet\Services zu finden aber ändert nix

  8. Stan sagt:

    Hallo zusammen,
    hat jemand auch das Problem, dass die DBUtil_2_3.Sys nicht gelöscht werden kann?

    Beim Löschen wird nachfolgende Meldung ausgegeben:
    "
    DBUtilRemovalTool Version:1.0.0
    This Application will delete DBUtil Driver v2.3 file (DBUtil_2_3.sys) from the system and uninstall the driver, if installed.
    Searching for DBUtil_2_3.sys file(s) on this system
    Deletion of file:DBUtil_2_3.Sys at location:C:\Windows\Temp\DBUtil_2_3.Sys FAILED. Please reboot the system and delete the file manually and/or re-run this application.
    Checking if the DBUtil driver v2.3 is installed on this system.
    DBUtil v2.3 driver has been marked for Uninstall.
    Please Reboot the system to complete the uninstall process.
    "
    Auch nach einem Neustart des Rechners kann die Datei nicht gelöscht werden. Im Internet habe ich nichts dazu gefunden.

    Weißt jemand was hier für ein Prozess das Löschen der DBUtil_2_3.sys blockiert?

  9. Gerold sagt:

    Dell hat schon wieder ein Problem:

    Das BIOS auf Dell-Rechner ist schon wieder von außen angreifbar

    Der Computerkonzern Dell hat einmal mehr ein Problem auf den untersten Ebenen der von ihm verkaufen Computer. Über eine Sicherheitslücke in einer Fernwartungs-Schnittstelle für das BIOS können Angreifer den kompletten Rechner übernehmen.

    https://winfuture.de/news,123713.html

    • Ralf Lindemann sagt:

      Laut dem verlinkten Beitrag ist das Tool „BIOSConnect" das Problem. „BIOSConnect ist (…) ein Bestandteil der SupportAssist-Software Dells", ein alter Bekannter. Im Dell SupportAssist wurden in der Vergangenheit immer wieder teils gravierende Schwachstellen gefunden. Wenn man den nicht wirklich braucht, kann man nur den Tipp geben: deinstallieren. Nett ist der Hinweis im Beitrag, dass wohl vor allem „Business-Kunden" betroffen sind. Die werden sich freuen …

    • Günter Born sagt:

      Ich hatte es die Nacht schon andernorts gesehen. Beitrag mit Rückverlinkungen auf diesen Kommentar (danke dafür) ist raus:

      Update für BIOS-/UEFI-Schwachstellen in Dell-Systemen

Schreibe einen Kommentar zu Sascha Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.