کمپانی Dell برای رفع آسیب‌پذیری‌های privilege escalation که از سال 2009 شناسایی نشده‌اند، یک بسته بروزرسانی منتشر کرده است، این آسیب‌پذیری‌ها به مهاجمان اجازه می‌دهد که امتیازات Kernel-Mode را بدست آورند و باعث ایجاد حالت انکار سرویس شوند.
این نقص‌ها توسط محققان SentinelOne در 1 دسامبر سال 2020 به دل گزارش شده‌اند که در یک درایور بروزرسانی firmware به نام "dbutil_2_3.sys" قرار دارند که از قبل روی دستگاه‌های این شرکت نصب شده است.

گفته می‌شود صدها میلیون رایانه رومیزی، لپ‌تاپ، نوت‌بوک و تبلت تولید شده توسط این شرکت در مقابل این نقص‌ها آسیب‌پذیر هستند.

به هر پنج نقص شناسه CVE-2021-21551 با نمره CVSS 8.8 اختصاص داده شده است.

لیست آسیب‌پذیری‌ها به شرح زیر است:

• CVE-2021-21551: Local Elevation Of Privileges #1 – Memory corruption
• CVE-2021-21551: Local Elevation Of Privileges #2 – Memory corruption
• CVE-2021-21551: Local Elevation Of Privileges #3 – Lack of input validation
• CVE-2021-21551: Local Elevation Of Privileges #4 – Lack of input validation
• CVE-2021-21551: Denial Of Service – Code logic issue

Kasif Dekel، از محققان ارشد امنیتی SentinelOne در یک تحلیل اظهار داشت: این نقص‌ها می‌توانند به هر کاربر در رایانه، حتی بدون امتیاز دسترسی اجازه دهد که دسترسی خود را افزایش دهد و کدها را در حالت Kernel اجرا کند. همچنین می‌توان از آنها برای دور زدن محصولات امنیتی نیز استفاده کرد.

تاکنون هیچ مدرکی مبنی بر استفاده از این آسیب‌پذیری‌ها کشف نشده است، SentinelOne گفت که قصد دارد PoC را در تاریخ 1 ژوئن 2021 منتشر کند که این وققه به مشتریان Dell فرصت کافی برای رفع آسیب‌پذیری را می‌دهد.