针对戴尔系统中的 BIOS/UEFI 漏洞的更新

　　戴尔系统在 BIOS/UEFI 中存在多个漏洞，攻击者可以利用这些漏洞在系统上执行代码。戴尔为各种产品的 BIOS/UEFI 提供了固件更新，出于安全原因，用户和管理员应安装这些更新。以下是 Eclypsium 安全研究人员披露的详细信息的简要概述。

　　Eclypsium 的安全研究人员在这篇博文中详细介绍了这个问题。Eclypsium 专家已经确定了影响戴尔客户端 BIOS 中的 BIOSConnect 功能的多个漏洞。

　　这一系列漏洞的累积 CVSS 得分为 8.3(高)，因为它允许特权网络攻击者冒充 Dell.com 并在受影响设备的 BIOS/UEFI 级别获得任意代码执行。

　　这种攻击将允许攻击者控制设备的启动过程并破坏操作系统和更高级别的安全控制。该问题影响了 129 款戴尔型号的消费者和商务笔记本电脑、台式机和平板电脑，包括受安全启动和戴尔安全核心 PC 保护的设备。

　　1.可以规避安全假设

　　安全研究人员的分类：这些漏洞允许攻击者在预启动环境中远程执行代码。此类代码可以在启动时操纵操作系统，违反有关硬件/固件安全模型的常见假设并绕过操作系统级安全控制。随着攻击者越来越多地将注意力转移到供应商供应链和系统固件上，企业对设备完整性的独立可见性和控制权比以往任何时候都更加重要。

　　2.戴尔支持助理再次参与

　　戴尔支持助理再次涉及该问题。Dell SupportAssist 是一种总体支持解决方案，预装在大多数基于 Windows 的 Dell 设备上。SupportAssist 涵盖一系列支持功能，例如硬件和软件问题监控、故障排除和恢复协助。

　　BIOSConnect是 SupportAssist 的一项功能，允许用户执行远程操作系统恢复或更新设备上的固件。在这两种情况下(固件升级或操作系统恢复)，BIOSConnect 允许系统的 BIOS 通过 Internet 联系戴尔的后端服务并协调升级或恢复过程。

　　安全研究人员立即在此机制中发现了许多漏洞。这些范围从使用从 BIOS 到戴尔的不安全 TLS 连接 (CVE-2021-21571) 到允许任意代码执行的溢出漏洞。戴尔发布了此安全公告，其中以 BIOS 更新的形式描述了漏洞、受影响的产品和补救措施。