Uautoriserte nullstillingsverktøy for BIOS-passord til Dell-klientprodukter

DSA-referanse: DSA-2020-119: Sikkerhetsproblem med ikke-godkjent nullstillingsverktøy for BIOS-passord til Dell-klientprodukter

Detaljer: 

Visse Dell Client Commercial and Consumer-plattformer støtter en funksjon for tilbakestilling av passord som er laget for å hjelpe autoriserte kunder som glemmer passordene. Dell er oppmerksom på et passordgenereringsverktøy som kan generere passord for BIOS-gjenoppretting. Verktøyene, som ikke er autorisert av Dell, kan brukes av en angriper som er fysisk til stede, for å tilbakestille BIOS-passord og BIOS-administrerte harddiskpassord. En ikke-godkjent angriper med fysisk tilgang til systemet kan potensielt utnytte dette sikkerhetsproblemet til å omgå sikkerhetsrestriksjoner for oppsett av BIOS, HDD-tilgang og BIOS-godkjenning før oppstart.

Løsning: 

Dell har flere skadebegrensingstiltak og begrensinger for bruk av uautoriserte passord for tilbakestilling på kommersielle plattformer. Vi anbefaler at kundene følger beste praksis for sikkerhet og forhindrer uautorisert fysisk tilgang til enheter. Kunder kan også velge å aktivere funksjonen for utlåsing av hovedpassord fra BIOS-oppsettet (tilgjengelig på kommersielle plattformer – alle plattformer med Insyde BIOS-lansering fra mars 2024 og senere og for alle andre plattformer fra og med 2011) for å beskytte administrator-, system- og HDD-passord er beskyttet mot å bli tilbakestilt.

Se Dells sikkerhetsveiledning hvis du vil ha mer informasjon: DSA-2020-119: Sikkerhetsproblem med ikke-godkjent nullstillingsverktøy for BIOS-passord til Dell-klientprodukter

Også ekstra BIOS-relatert innhold som kan være til nytte:

• Dell-støtte for tapt BIOS-passord
• BIOS-passordfunksjon for Dell Command PowerShell Provider (på engelsk)
• Slik tilbakestiller eller sletter du BIOS-passordet
• Generell informasjon om harddisk- og BIOS-passord
• Når du tilbakestiller BIOS til standardkonfigurasjonene på et system, er det mulig at BIOS-innstillingene som er konfigurert fra fabrikken, ikke samsvarer med disse

Vanlige spørsmål:    

Spm.: Hvilke modeller berøres?

Sv: Dette påvirker de fleste systemer for kommersielle Dell-klienter og noen forbrukersystemer. Alle plattformer som viser følgende ID-er i spørsmål om BIOS-forhåndsoppstart-passord (Dell Security Manager)

• <SERVICE-ID eller HDD SN-D35B>
• <SERVICE-ID eller HDD SN-1F5A>
• <SERVICE-ID eller HDD SN-595B>
• <SERVICE-ID eller HDD SN-2A7B>
• <SERVICE-ID eller HDD SN-1D3B>
• <SERVICE-ID eller HDD SN-1F66>
• <SERVICE-ID eller HDD SN6FF1>
• <SERVICE-ID eller HDD SN-BF97>
• <SERVICE-ID eller HDD SN-E7A8>

B: Insyde BIOS-plattformer - For å sjekke om plattformen din er basert på Insyde BIOS,

1. Slå på datamaskinen.
2. Når skjermbildet med Dell-logoen vises, trykker du på F2-tasten flere ganger til du åpner BIOS eller systemoppsettet.
3. Du kan også trykke på F12-tasten flere ganger til du ser menyen for engangsoppstart, og deretter velge BIOS Setup eller System Setup (Systemoppsett) på menyen.
4. Insyde BIOS-plattformen viser "InsydeH2O Setup Utility" øverst på oppsettsiden.

Spm.: Hvordan kan jeg beskytte plattformen min mot en uautorisert tilbakestilling av passord?

Sv: Det er flere løsninger og beste praksiser kundene bør følge for å beskytte plattformene sine.

• Utlåsing med hovedpassord. Dette kan aktiveres fra BIOS-oppsettet. Når det er aktivert, er administrator-, system-og HDD-passordene beskyttet mot tilbakestilling ved hjelp av gjenopprettingspassord. (Tilgjengelig på kommersielle plattformer – alle plattformer med Insyde BIOS-utgivelse fra mars 2024 og utover og for alle andre plattformer fra og med 2011)  
• En bruker må være fysisk til stede på systemet for at gjenopprettingspassordet skal kunne brukes. Derfor må man alltid sørge for fysisk beskyttelse av plattformen.

Advarsel: Hvis alternativet for låsing av hovedpassord er valgt, og kunden glemmer passordet, vil Dell ikke være i stand til å hjelpe til med å gjenopprette passordet. Det vil si at plattformen ikke kan gjenopprettes, og hovedkortet eller harddisken må skiftes ut.

Spm.: Kan dette verktøyet brukes eksternt for å tilbakestille passordene mine?

Sv: Nei, en bruker må være fysisk til stede på systemet for å kunne bruke gjenopprettingspassordet. Derfor må man alltid sørge for fysisk beskyttelse av plattformen.

Spm.: Hvordan finner jeg ut om dette verktøyet ble brukt på plattformen min?

Sv: Bruk av gjenopprettingspassordet kan oppdages, ettersom bruken av det fører til at gjeldende BIOS-passord (administrator/system eller BIOS-administrert HDD fjernes).

Spm.: Gir bruk av gjenopprettingspassordet tilgang til dataene på harddisken?

Sv: Når du angir HDD-passordet, blir et alternativ presentert for å tvinge en HDD-sletting hvis passordet for harddiskgjenoppretting blir brukt. Hvis dette alternativet ble valgt da HDD-passordet ble angitt, slettes harddisken ved bruk av passordet for harddiskgjenoppretting.  Det er derfor ikke tillatt med datatilgang. Hvis dette alternativet ikke er valgt, beholdes dataene på harddisken. Hvis det brukes harddiskkryptering (for eksempel BitLocker), er dataene tilgjengelige, men informasjonen på stasjonen er beskyttet mot deling.

Spm.: Gir bruk av gjenopprettingspassordet tilgang til operativsystemet?

Sv: Bruken av gjenopprettingspassordet tillater ikke omgåelse av operativsystemets legitimasjonskrav.

Spm.: Påvirker dette selvkrypterende stasjoner som bruker et eksternt SED-administrasjonsprogram til å angi passord på stasjonen?

Sv:  Dette verktøyet har ikke innvirkning på selvkrypterende stasjoner som er klargjort og styrt av et eksternt SED-administrasjonsprogram. Nullstillingsverktøyet har bare innvirkning på BIOS-passord som er administrert av BIOS-oppsettet.

Spm.: Går dette verktøyet ut over integriteten til BIOS-fastvaren og roten til plattformens tillit?

Sv: Bruken av gjenopprettingspassordet svekker ikke integriteten til BIOS-fastvaren. BIOS-fastvare er beskyttet av NIST 800-147 verifiseringsbeskyttelse med signatur og tilleggsfunksjoner som Intel BootGuard, Intel BIOSGuard og Chipset-beskyttelse av skriverens fastvare. Bruk av verktøyet kan tillate tilgang til BIOS setup-grensesnittet, som tillater at du endrer sikkerhetsinnstillingene for plattformen, for eksempel Secure Boot Enable og TPM-innstillinger.  

Anbefalte artikler

Her er noen anbefalte artikler relatert til dette emnet som kan være av interesse for deg.

• Dell-støtte for tapt BIOS-passord
• BIOS-passordfunksjon for Dell Command PowerShell Provider
• Slik tilbakestiller eller sletter du BIOS-passordet
• Generell informasjon om harddisk- og BIOS-passord
• Når du tilbakestiller BIOS til standardkonfigurasjonene på et system, er det mulig at BIOS-innstillingene som er konfigurert fra fabrikken, ikke samsvarer med disse