Dell-klientprodukter – obehöriga verktyg för återställning av BIOS-lösenord

DSA-referens: DSA-2020-119: Dell-klientprodukter – säkerhetsrisker med obehöriga verktyg för återställning av BIOS-lösenord

Details: 

Utvalda Dell-klientplattformar för kommersiell användning och konsumenter har funktioner för lösenordsåterställning som är utformade för att hjälpa behöriga kunder som glömmer sitt lösenord. Dell känner till verktyg för lösenordsgenerering som kan generera BIOS-återställningslösenord. Verktygen, som inte har godkänts av Dell, kan användas av en fysiskt närvarande angripare för att återställa BIOS-lösenord och BIOS-hanterade hårddisklösenord. En ej behörig angripare med fysisk åtkomst till systemet kan potentiellt utnyttja det här säkerhetsproblemet för att kringgå säkerhetsbegränsningar för BIOS-konfiguration, hårddiskåtkomst och BIOS-autentisering före start.

Lösning: 

Dell tillhandahåller flera åtgärder och begränsningar för användning av ej behörig återställning av lösenord på kommersiella plattformar. Vi rekommenderar att kunderna följer bästa praxis för säkerhet och förhindrar obehörig fysisk åtkomst till enheter. Kunder kan också välja att aktivera funktionen för utelåsning av huvudlösenord från BIOS-inställningarna (tillgänglig på kommersiella plattformar – alla plattformar med Insyde BIOS-version från mars 2024 och framåt och för alla andra plattformar från och med 2011) för att skydda administratörs-, system- och hårddisklösenord skyddas från att återställas.

Se Dells säkerhetsrekommendation för mer information: DSA-2020-119: Dell-klientprodukter – säkerhetsrisker med obehöriga verktyg för återställning av BIOS-lösenord

Även ytterligare BIOS-relaterat innehåll som kan vara till nytta:

• Dells support för borttappat BIOS-lösenord
• Dell Command PowerShell Provider – BIOS-lösenordsfunktion
• Så här återställer eller rensar du BIOS-lösenordet
• Allmän information om hårddisk- och BIOS-lösenord
• Återställning av BIOS till standardkonfiguration i ett system överensstämmer eventuellt inte med de BIOS-inställningar som konfigurerats från fabriken

Vanliga frågor och svar:    

F: Vilka modeller påverkas?

A: Detta påverkar de flesta kommersiella Dell-klientsystem och utvalda Dell-klientsystem för konsumenter. Alla plattformar som visar följande identifierare i BIOS-förstartsmeddelanden om lösenord (Dell Security Manager)

• <SERVICE TAG eller HDD SN-D35B>
• <SERVICE TAG eller HDD SN1F5A>
• <SERVICE TAG eller HDD SN595B>
• <SERVICE TAG eller HDD SN-2A7B>
• <SERVICE TAG eller HDD SN-1D3B>
• <SERVICE TAG eller HDD SN1F66>
• <SERVICE TAG eller HDD SN6FF1>
• <SERVICE TAG eller HDD SN-BF97>
• <SERVICE TAG eller HDD SN-E7A8>

B: Insyde BIOS-plattformar - För att kontrollera om din plattform är baserad på Insyde BIOS,

1. Starta datorn.
2. När skärmbilden med Dell-logotypen visas trycker du på F2 flera gånger tills du öppnar BIOS eller systeminställningarna.
3. Du kan också trycka på F12-tangenten flera gånger tills menyn för engångsstart visas och sedan välja BIOS-inställningar eller Systeminställningar på menyn.
4. Insyde BIOS-plattformen visar "InsydeH2O Setup Utility" högst upp på installationssidan.

F: Hur kan jag skydda min plattform från en obehörig lösenordsåterställning?

A: Det finns flera åtgärder och metoder enligt bästa praxis som kunder bör använda för att skydda sina plattformar.

• Spärr av huvudlösenord. Den här funktionen kan aktiveras i BIOS-inställningarna. När funktionen är aktiverad skyddas administratörs-, system- och hårddisklösenord från återställning med återställningslösenord. (Tillgänglig på kommersiella plattformar – alla plattformar med Insyde BIOS-version från mars 2024 och framåt och för alla andra plattformar från och med 2011)  
• En användare måste vara fysiskt närvarande vid systemet för att använda återställningslösenordet. Det innebär att plattformen alltid ska skyddas fysiskt.

Varning! Om alternativet för utelåsning av huvudlösenord är valt och kunden senare glömmer lösenordet kan Dell inte hjälpa till med återställning av lösenord. Plattformen kan inte återställas och moderkortet eller hårddisken måste bytas ut.

F: Kan det här verktyget användas på distans för att återställa mina lösenord?

A: Nej, en användare måste vara fysiskt närvarande vid systemet för att använda återställningslösenordet. Det innebär att plattformen alltid ska skyddas fysiskt.

F: Hur kan jag avgöra om det här verktyget har använts på min plattform?

A: Användning av återställningslösenordet kan identifieras eftersom dess användning leder till att de tillämpliga BIOS-lösenorden (admin/system eller BIOS-hanterad hårddisk) tas bort.

F: Tillåter återställningslösenordet åtkomst till data på min hårddisk?

A: När du ställer in hårddisklösenordet visas ett alternativ för framtvingad hårddiskrensning om återställningslösenordet för hårddisken används. Om det alternativet valdes när hårddisklösenordet ställdes in rensas hårddisken när återställningslösenordet för hårddisken används.  Så, nej, ingen åtkomst till data ges. Om alternativet inte valdes lämnas data kvar på hårddisken. Om hårddiskkryptering (till exempel BitLocker) används är data emellertid tillgängliga men informationen på enheten skyddas från att visas.

F: Tillåter användningen av återställningslösenordet åtkomst till operativsystemet?

A: Användning av återställningslösenordet innebär inte att inloggningsuppgifterna för operativsystemet åsidosätts.

F: Påverkar detta självkrypterande enheter som använder ett externt SED-hanteringsprogram för att ställa in lösenord på min enhet?

A:  Verktyget påverkar inte självkrypterande enheter som tillhandahålls och hanteras av ett externt SED-hanteringsprogram. Återställningsverktyget påverkar endast BIOS-lösenord som hanteras via BIOS-inställningarna.

F: Äventyrar det här verktyget integriteten hos min fasta BIOS-programvara och min plattformsförtroenderot?

A: Användning av återställningslösenordet äventyrar inte integriteten för den fasta BIOS-programvaran. Fast BIOS-programvara skyddas av NIST 800-147-signaturverifieringsskydd samt av ytterligare funktioner, till exempel Intel BootGuard, Intel BIOSGuard och skrivskydd för fast programvara för kretsuppsättning. Användning av verktyget kan ge åtkomst till gränssnittet för BIOS-inställningar, vilket gör det möjligt att ändra säkerhetsinställningarna för plattformen, till exempel inställningarna för Secure Boot Enable och TPM.  

Rekommenderade artiklar

Här är några rekommenderade artiklar om detta ämne som kan vara av intresse för dig.

• Dells support för förlorat BIOS-lösenord
• Dell Command PowerShell Provider – BIOS-lösenordsfunktion
• Återställa eller rensa BIOS-lösenordet
• Allmän information om hårddisk- och BIOS-lösenord
• Återställning av BIOS till standardkonfiguration i ett system överensstämmer eventuellt inte med de BIOS-inställningar som konfigurerats från fabriken