Уязвимости в Dell BIOS актуальны для миллионов XPS, Inspiron, Vostro

Татьяна Никитина 22 Марта 2022 - 20:11

...

Уязвимости в Dell BIOS актуальны для миллионов XPS, Inspiron, Vostro

Компания Dell пропатчила прошивку UEFI BIOS, устранив уязвимости, позволяющие выполнить произвольный код с высокими привилегиями. Пользователей призывают как можно скорее произвести апгрейд.

По словам авторов трех из пяти опасных находок, уязвимости CVE-2022-24415, CVE-2022-24416, CVE-2022-24419, CVE-2022-24420 и CVE-2022-24421 появились из-за неадекватной проверки данных, вводимых пользователем. Виновником всех этих проблем является кодовый модуль UsbRt — сложный компонент прошивки BIOS, при реализации которого разработчики часто допускают ошибки (эксперты Binarly предупреждали об этом еще шесть лет назад).

Уязвимости проявляются при работе процессора в режиме управления системой (System Management Mode, SMM). Режим SMM обычно используется для управления конфигурированием и энергопитанием, а также для программной эмуляции устаревшего периферийного оборудования.

Переход в этот режим, инициализируемый BIOS, осуществляется при помощи специальных прерываний SMI. Получив этот сигнал, процессор сохраняет своё текущее состояние в специальной области памяти (SMRAM) и запускает код SMM. Последний выполняется с самыми высокими привилегиями и незаметно для ОС, что открывает хорошую возможность для злоупотреблений.

Как оказалось, отсутствие надлежащей валидации пользовательского ввода в этом случае позволяет проводить атаки на устройства Dell. Локальному пользователю с недобрыми намерениями для этого потребуется только клавиатура или мышь; при успешной отработке эксплойта злоумышленник сможет выполнить любой код с высокими привилегиями. Аналогичная уязвимость была недавно найдена в UEFI-прошивке InsydeH2O производства Insyde Software.

В Dell оценили опасность всех выявленных проблем в 8,2 балла CVSS — как высокую. Их наличие подтверждено для устройств 45 моделей, в том числе для ноутбуков XPS, Alienware, Inspiron и Vostro, а также для шлюзов Edge Gateway 3000. Обновления с патчами вышли 10 марта, пользователям настоятельно рекомендуется их установить в кратчайшие сроки.

Поскольку современные инструменты поиска уязвимостей не способны обнаружить дефекты в прошивке BIOS, эксперты Binarly советуют вендорам таких продуктов убрать модуль UsbRt из будущих обновлений, чтобы сократить площадь атаки. Этот код, по мнению исследователей, слишком сложен, его трудно обезопасить надлежащим образом, и при его использовании приходится все время учитывать риски.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 09 Июня 2026 - 18:59

Android Трояны Домашние пользователи Доктор Веб

Троян Android.MagicAd пролез в официальные магазины Xiaomi и Samsung

Пользователям Android снова напомнили, что даже официальный магазин приложений не всегда гарантирует безопасность. Специалисты «Доктор Веб» обнаружили семейство троянов Android.MagicAd, которое научилось показывать рекламу поверх других приложений, обходя встроенные защитные механизмы операционной системы.

Особенность Android.MagicAd в том, что он действует максимально скрытно. Вредоносный код хранится внутри зашифрованных нативных библиотек и расшифровывается только во время работы приложения.

Перед активацией троян проверяет окружение: ищет признаки виртуальных машин, анализирует способ установки приложения и даже проверяет IP-адрес устройства. Если всё выглядит безопасно для злоумышленников, вредонос приступает к работе.

После запуска Android.MagicAd скрывает свою иконку, создаёт фоновые службы и начинает демонстрировать рекламные баннеры. Причём делает это без разрешения SYSTEM_ALERT_WINDOW, которое обычно требуется для вывода окон поверх других приложений.

Вместо этого троян использует целый набор нестандартных приёмов. Например, на устройствах Xiaomi он взаимодействует с браузером Mi Browser и компонентами MIUI, на смартфонах Vivo использует системные сервисы через механизм Binder, а на устройствах Amazon эксплуатирует домашний экран Fire TV.

Есть и универсальный метод. Вредонос запускает медиаплеер с практически нулевой громкостью, имитирует нажатие мультимедийных кнопок и использует системные механизмы управления воспроизведением как точку входа для показа рекламы. Со стороны всё выглядит как обычная работа мультимедийных функций Android.

По данным Doctor Web, заражённые приложения распространялись через официальный магазин Xiaomi GetApps, а также были замечены в Samsung Galaxy Store. Всего исследователи насчитали более 50 вредоносных приложений.

Авторы кампании старались не привлекать лишнего внимания. Приложения появлялись в магазинах на ограниченное время, затем удалялись и заменялись новыми программами от тех же разработчиков. Такой подход позволял поддерживать заражения и одновременно снижать риск обнаружения.

На данный момент вредоносные приложения уже удалены из каталогов, а связанные с ними учётные записи разработчиков перестали публиковать новые программы. Однако установленные ранее копии продолжают работать на устройствах пользователей.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!