Dell、2009年以降の Windows PC にカーネル特権昇格の脆弱性=影響は数億台規模か

Dell ファームウェアアップデート用ユーティリティに特権昇格の脆弱性

米 Dell は2021年5月4日(現地時間)、特権昇格の脆弱性や DoS 攻撃などの危険性を修正するためのセキュリティパッチを公開した。影響を受けるコンピュータは2009年出荷分までさかのぼり、その規模は世界で数億台にのぼるとみられる。

セキュリティ調査企業 SentinelLabs によると、Dell 製 Windows PC の BIOS アップデートユーティリティに5件もの重大なバグ(CVE 識別子 = CVE-2021-21551)が見つかったという。
現状では、リモートから任意のコードが直に実行される危険性こそ無いものの、脆弱なドライバを介して、ローカル認証された攻撃者による権限昇格およびサービス拒否(DoS)などといったセキュリティの問題が存在する。ユーザによる早急な対処が必要であり、緊急性の高い事案といえる。

Dell パソコン所有者は早急に対応を=脆弱性を含むドライバの削除が必要

DSA-2021-088 ダウンロード

解決のための手段を先に述べると、問題となっているファームウェアアップデートのドライバ "dbutil_2_3.sys" を手動で削除するか、または Dell が公開しているパッチ(Dell Security Advisory Update - DSA-2021-088 ユーティリティ)を実行してファイルを削除すれば脅威を回避できる。

ドライバ削除後、最新のユーティリティ・パッケージをインストールしておくと安心だ。なお、今回削除するドライバ(dbutil)は、次回の BIOS アップデート時に修正版が自動インストールされる予定である。

(1)Dell Security Advisory Update – DSA-2021-088 を使用する場合

Dell Security Advisory Update – DSA-2021-088

ユーティリティ・プログラム "Dell Security Advisory Update – DSA-2021-088"(バージョン1.0.0、ファイルサイズ 7.9 MB、重要度「緊急」)は Dell のサイトからダウンロードできる(ファイル名:Dell-Security-Advisory-Update-DSA-2021-088_7PR57_WIN_1.0.0_A00.EXE または Dell-Security-Advisory-Update-DSA-2021-088_6DRP5_WIN_1.0.0_A01.EXE)。インストールおよび実行すれば、問題のドライバを簡単に削除可能だ。Dell もこの方法を「第一の手段」として強く推奨している。

上記リンクからユーティリティをダウンロード後、プログラムを実行すると、以下のような画面(DBUtilRemovalTool Version:1.0.0)が出る。ここで指示通り(Press 'y' to Continue or other key to Abort:)に y を入力すると、DBUtil ドライバ ver.2.3 をシステムから探し出して(Searching for DBUtil_2_3.sys file(s) on this system)、アンインストール・削除(uninstall the driver, if installed)してくれる。非常にシンプルで分かりやすい。

DBUtilRemovalTool Version:1.0.0

一例として、DBUtil driver v2.3 がシステムに存在しなければ、下のような画面(Press Enter to exit:)になる。この場合、Enter キーを押せば作業完了となる。

DBUtil v2.3 driver was not found

"Dell Security Advisory Update – DSA-2021-088" ユーティリティによるドライバ削除作業が無事成功すれば、以下のようなポップアップが出てくるので確認しておこう。

Dell Update Package– DSA-2021-088,UTILITY

今回のテストで問題のあるドライバが検出されなかったのは、パッチ適用前に最新のファームウェア・アップデートが行われていたためのようだ。すでに Windows 10 向けには修正パッケージが公開されている。
なお、Dell System Inventory Agent を使用している場合、作業に最新バージョン(2.6.0.0以降)をダウンロードする必要がる。
また、法人向けの「機能拡張版ツール」が5月10日に公開される予定となっている。

(2)手動で dbutil_2_3.sys を削除する場合

手動で問題のファイル "dbutil_2_3.sys" を削除する場合、ドライバが存在するであろう場所は "C: \ Users\ <username> \ AppData \ Local \ Temp" または "C: \ Windows \ Temp" のどちらかだ。

該当箇所を確認して、"dbutil_2_3.sys" があれば、同ファイルを選択した状態で、[Shift] キーを押しながら [Delete] キーを押してファイルを "完全削除" しよう。
このドライバ(dbutil_2_3.sys)はファームウェアアップデートのためだけに利用されるため、完全に削除しても PC のシステム自体に問題は発生しない。

(3)Dell 純正の通知アプリケーション経由で削除する場合

Dell Update

第3の手段として、Dell の SupportAssist や Dell Update などといった純正の通知アプリケーション経由でもパッチが入手可能になる予定だ。
2021年5月10日までには配信予定であり、"Dell Security Advisory Update –DSA-2021-088" ユーティリティを入手して実行できる。
なお、自動更新機能がオフになっている場合は「チェック」をクリックしてアップデートの有無を確認すると良い(上スクショは Dell Update の例)。

手動での操作に不安があれば、この通知アプリを活用するのも悪くは無いだろう。先述の通り、カーネルの特権の昇格という重大な脆弱性があるものの、現状は被害の報告は無く、また、リモートから任意のコードを実行される危険性は無い(執筆時点)。
もちろん、セキュリティ対応に関しては早いに越したことは無い。脆弱なドライバは常に攻撃の対象になり得る。セキュリティ機能のバイパスに悪用される可能性もある。
なお、今回の脆弱性に関する概念実証(proof of concept)は2021年6月1日に予定されている。

該当するユーティリティの最新パッケージを実行しておく

脆弱性のあるドライバ "dbutil" を削除したら、再びトラブルに陥らぬよう、該当するユーティリティの最新パッケージ(ファームウェア・アップデート・ユーティリティ・パッケージ、Dell Command Update、Dell Update、Alienware Update、Dell System Inventory Agent、Dell PlatformTags など)をダウンロードして実行おこう。これらの最新版はすでにセキュリティ・アップデートが施されている。

ただし、サポート期限が切れている一部モデルに関しては、ファームウェア・アップデートの提供は行われない(Dell DSA-2021-088 対象機種一覧 - Table B 記載モデル)。また、Windows 7 / 8.1 向けファームウェアの更新は「2021年7月31日までには公開予定」となっている。いずれにしても、脆弱ドライバ "dbutil" は削除しておこう。

自分が使っている Dell PC の最新ドライバを確認したければ、Dell の製品サポートページ(https://www.dell.com/support/home/)に Web ブラウザでアクセスすると、使用中のモデルを自動で判別してくれる。
「ドライバーおよびダウンロード」のタブから、「Dell がドライバー アップデートを自動的に検索できるようにする」をクリックすると、SupportAssist がドライバのアップデートをチェックしてくれるので便利だ。必要なアップデートを適用後、最終的に「お使いのシステムは最新です」と出てくれば、最新ドライバ類が適用されていることになる。

12年間も欠陥を放置=数億に及ぶ Dell PC に脆弱なドライバを含む BIOS アップデート・ユーティリティが存在

今回のカーネル権限昇格などの脆弱性は、 Dell ファームウェアアップデート・ドライバのバージョン2.3(dbutil_2_3.sys)で見つかった。
Dell BIOS Utility を経由して組み込まれた Dell Firmware Updates は、2009年から使用されており、それ以降に出荷された "ほぼすべて" の Dell 製 Windows デバイスに問題のドライバがインストールされているとみられる。Inspiron、Vostro、XPS、Alienware、Latitude、OptiPlex、Dell G、Precision など Windows OS 搭載の Dell PC 全ブランドが影響を受ける。
わずかな例外として、ファームウェアアップデートをしたことが一度も無く、かつ、BIOS 更新を Windows Update 経由のみで行ったユーザは影響を受けないようだ。

Dell Firmware Update

セキュリティ調査企業 SentinelLabs は昨年12月に今回の脆弱性を発見し、その後、Dell と解決へ向けて協議を重ねてきた。
今回見つかった5件の脆弱性は、メモリ破損、入力検証処理、サービス拒否に関する脆弱性によって構成される。これらが悪用されると、特権が無くてもコンピュータ上の全ての特権を昇格させ、カーネルモードでコードを実行される可能性がある。

問題のドライバがインストールされた経路は、ファームウェア・アップデート・ユーティリティ・パッケージをはじめ、Dell Command Update、Dell Update、Alienware Update、Dell System Inventory Agent、Dell Platform Tags、通知によるアップデートなど非常に多岐に渡った。 

Dell はすでに問題の "dbutil" ドライバを修正したうえで、ファームウェア・アップデート・ユーティリティ・パッケージをはじめ、Dell Command Update、Dell Update などを公開済みである。

今回の脆弱性の深刻度スコアは10段階中8.8(CVSS 3.1=共通脆弱性評価システム)の「重大」であり、Windows 7 / 8.1 / 10 を搭載する数億台もの Dell 製デスクトップ、ラップトップ、ノートブック、およびタブレットに影響を与える。直近の12年間に出荷されたほぼ全ての Dell 製 PC 約380機種が影響を受けるようだ。
なお、Dell 製の Chromebook や Linux OS ユーザは今回の問題の影響を受けない。

ファームウェア・アップデート前にはバックアップを取っておきたい。
BIOS はパソコンにとって非常に重要なプログラムである一方、更新時などにトラブルを引き起こす可能性がゼロではない。常日頃から重要なファイルについては、複数のバックアップを取るよう心掛けたいものだ。

<Sources>


コメント