Anzeige

Anzeige

Dell

Quelle: Dhananjay Bhagat / Shutterstock.com

Sicherheitsforscher von SentinelLabs, einer Forschungseinheit von SentinelOne, haben Details über fünf Sicherheitslücken in hundert Millionen Dell PCs, Notebooks, Laptops und Tablets veröffentlicht.

Die gefundenen Lücken gehen auf mehrere Monate Arbeit zurück, die am 1. Dezember 2020 unter Responsable Disclosure an Dell gemeldet wurden. Dell führt die Schwachstellen unter CVE-2021-21551 und dem CVSS-Score 8.8. Der Hersteller hat bereits einen Patch zur Verfügung gestellt, um die Sicherheitslücken zu beheben. Betroffen sind Hunderte von Millionen seit 2009 ausgelieferte Windows-Geräte, die den anfälligen Treiber enthalten. Die Updates der betroffenen Treiber-Komponente erfolgen automatisch über das Dell Bios Utility, das auf den meisten Windows-Rechnern vorinstalliert ist.

Manipulation lokaler Zugriffsrechte und ungehinderte Ausbreitung im Netzwerk

Die Schwachstellen könnten es jedem Benutzer auf dem Computer, auch ohne Rechte, ermöglichen, seine Privilegien zu erweitern und Code im Kernel-Modus auszuführen. Zu den offensichtlichen Missbräuchen solcher Schwachstellen gehört, dass sie zur Umgehung von IT-Sicherheitslösungen genutzt werden könnten. Ein Angreifer mit Zugriff auf das Netzwerk eines Unternehmens kann außerdem Code auf ungepatchten Dell-Systemen ausführen und die Schwachstellen ausnutzen, um seine Berechtigungen lokale zu erhöhen. Ein Angreifer kann dann weitere Hackertechniken anwenden, um auf das gesamte Netzwerk zuzugreifen, z. B. durch laterale Bewegungen.

Aktuell liegen keine Hinweise für eine Ausnutzung der Schwachstellen durch Cyberkriminelle vor. SentinelOne rät allen betroffenen Windows Dell-Nutzern den von Dell zur Verfügung gestellten Patch zu nutzen.

Die fünf Schwachstellen wurden von Dell mit der folgenden CVE versehen:

  • CVE-2021-21551: Local Elevation Of Privileges #1 – Memory corruption
  • CVE-2021-21551: Local Elevation Of Privileges #2 – Memory corruption
  • CVE-2021-21551: Local Elevation Of Privileges #3 – Lack of input validation
  • CVE-2021-21551: Local Elevation Of Privileges #4 – Lack of input validation
  • CVE-2021-21551: Denial Of Service – Code logic issue

https://labs.sentinelone.com/ 


Weitere Artikel

Online-Shopping

Social Shopping: Männer kaufwilliger als Frauen

Männliche Käufer sind bereit, beim Online-Shopping in sozialen Medien spontan viel mehr Geld für ein ungesehenes Produkt auszugeben als weibliche, wenn ein Influencer es ihnen dort empfiehlt.
Erfolg

Claire Valencony wird neues Vorstandsmitglied bei Esker

Esker, Anbieter der gleichnamigen globalen Cloud-Plattform, welche die Effizienz von Finanz- und Kundendienstabteilungen sowie die unternehmensübergreifende Zusammenarbeit durch Automatisierung von Managementaufgaben stärkt, gab bekannt, dass Claire Valencony…
Hybrid Working

Ende der Homeoffice-Pflicht - das hybride Zeitalter wird eingeläutet

Die von der Regierung eingeführte Homeoffice-Pflicht im Rahmen des Infektionsschutzgesetzes läuft zum 1. Juli 2021 aus. Unternehmen und Mitarbeiter können anschließend wieder zurück in die Büros kehren, doch wollen viele Mitarbeiter weiter flexibel am…
Startup

Scaleway unterstützt Startups in Deutschland mit speziellem Programm

Nach dem Start seiner Aktivitäten in Deutschland am 09. Juni 2021, investiert Scaleway, der europäische Public-Cloud-Anbieter, nun in das Startup-Ökosystem hierzulande und startet heute die vierte Ausgabe seines Startup Programms in einer speziell deutschen…
Digitalisierung

15 Prozent der Deutschen geht die Digitalisierung zu schnell

Mehr als einem Siebtel der Deutschen geht die Digitalisierung von Wirtschaft und Gesellschaft zu schnell. Das ist das Ergebnis einer repräsentativen Studie im Auftrag von „Digital für alle“.
Brexit

Brexit: EU-Jobber meiden Großbritannien

Die Zahl der EU-Bürger, die in Großbritannien nach Arbeit suchen, ist seit dem Brexit um mehr als ein Drittel gesunken. Das geht aus einer Studie der digitalen Jobvermittlung Indeed hervor.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.