Anzeige

Dell

Quelle: Dhananjay Bhagat / Shutterstock.com

Sicherheitsforscher von SentinelLabs, einer Forschungseinheit von SentinelOne, haben Details über fünf Sicherheitslücken in hundert Millionen Dell PCs, Notebooks, Laptops und Tablets veröffentlicht.

Die gefundenen Lücken gehen auf mehrere Monate Arbeit zurück, die am 1. Dezember 2020 unter Responsable Disclosure an Dell gemeldet wurden. Dell führt die Schwachstellen unter CVE-2021-21551 und dem CVSS-Score 8.8. Der Hersteller hat bereits einen Patch zur Verfügung gestellt, um die Sicherheitslücken zu beheben. Betroffen sind Hunderte von Millionen seit 2009 ausgelieferte Windows-Geräte, die den anfälligen Treiber enthalten. Die Updates der betroffenen Treiber-Komponente erfolgen automatisch über das Dell Bios Utility, das auf den meisten Windows-Rechnern vorinstalliert ist.

Manipulation lokaler Zugriffsrechte und ungehinderte Ausbreitung im Netzwerk

Die Schwachstellen könnten es jedem Benutzer auf dem Computer, auch ohne Rechte, ermöglichen, seine Privilegien zu erweitern und Code im Kernel-Modus auszuführen. Zu den offensichtlichen Missbräuchen solcher Schwachstellen gehört, dass sie zur Umgehung von IT-Sicherheitslösungen genutzt werden könnten. Ein Angreifer mit Zugriff auf das Netzwerk eines Unternehmens kann außerdem Code auf ungepatchten Dell-Systemen ausführen und die Schwachstellen ausnutzen, um seine Berechtigungen lokale zu erhöhen. Ein Angreifer kann dann weitere Hackertechniken anwenden, um auf das gesamte Netzwerk zuzugreifen, z. B. durch laterale Bewegungen.

Aktuell liegen keine Hinweise für eine Ausnutzung der Schwachstellen durch Cyberkriminelle vor. SentinelOne rät allen betroffenen Windows Dell-Nutzern den von Dell zur Verfügung gestellten Patch zu nutzen.

Die fünf Schwachstellen wurden von Dell mit der folgenden CVE versehen:

  • CVE-2021-21551: Local Elevation Of Privileges #1 – Memory corruption
  • CVE-2021-21551: Local Elevation Of Privileges #2 – Memory corruption
  • CVE-2021-21551: Local Elevation Of Privileges #3 – Lack of input validation
  • CVE-2021-21551: Local Elevation Of Privileges #4 – Lack of input validation
  • CVE-2021-21551: Denial Of Service – Code logic issue

https://labs.sentinelone.com/ 


Weitere Artikel

Klarnamenpflicht: Facebook unterliegt am BGH

Facebook muss es nach einem Urteil des Bundesgerichtshofs (BGH) hinnehmen, dass seit langem angemeldete Nutzer Pseudonyme auf der Plattform gebrauchen. Eine Pflicht zur Verwendung des sogenannten Klarnamens sei unwirksam, entschied der dritte Zivilsenat am…
Data Privacy Day

Der Datenschutz in Europa

Anlässlich des Data Privacy Day am kommenden Freitag (28.01.2022), teilt John Smith, EMEA CTO bei Veracode, einige Gedanken zum Thema Datenschutz in Europa.
Facebook

Facebooks Gratis-Web "Free Basics" ist gar nicht gratis

Facebooks Plan, in Entwicklungsländern wie Indonesien, den Philippinen und Pakistan mit lokalen Mobilfunkanbietern zusammenzuarbeiten, um Menschen einen kostenlosen Internetzugang zu ermöglichen, ist offensichtlich nach hinten losgegangen. Laut Recherchen des…
SAP

SAP plant Übernahme von US-Fintech Taulia

Europas größter Softwarehersteller SAP will sein Geschäft im Finanzbereich mit einer Übernahme in den USA ausbauen. Mit dem Erwerb der Kontrollmehrheit an dem US-Fintech Taulia soll den SAP-Kunden ein besserer Zugang zu Liquidität ermöglicht werden, wie der…
Computerchip

Weltweitem Halbleitermangel mit einer Mobile-Business-Strategie entgegentreten

Die Halbleiterkrise nimmt weiter zu, so dass die USA nun reagieren und Hilfen in Höhe von 52 Milliarden US-Dollar zur Verfügung stellen wollen.
iPhone

Apples iPhone jetzt Nummer eins in China

Apples iPhone war im vergangenen Weihnachtsquartal nach Berechnungen von Marktforschern das meistverkaufte Smartphone in China. Der US-Konzern steigerte seinen Marktanteil von 16 Prozent ein Jahr zuvor auf 23 Prozent, wie die Analysefirma Counterpoint…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.