Herramientas de restablecimiento no autorizado de contraseña de BIOS en productos de cliente Dell

Summary: Herramientas de restablecimiento no autorizado de contraseña de BIOS en productos de cliente Dell

Article Content


Symptoms

Cause

Detalles:
Algunas plataformas Dell para cliente comercial y consumidor admiten una función de restablecimiento de contraseña que está diseñada para ayudar a los clientes autorizados que suelen olvidarlas. Dell es consciente de la existencia de herramientas de generación de contraseña que pueden generar contraseñas de recuperación del BIOS. Un atacante físicamente presente puede utilizar herramientas que no están autorizadas por Dell para restablecer las contraseñas del BIOS y las contraseñas de un HDD (disco duro) administrado por el BIOS. Es muy probable que un atacante no autenticado con acceso físico al sistema aproveche esta vulnerabilidad para anular las restricciones de seguridad en la configuración del BIOS, el acceso al HDD y la autenticación previa al arranque del BIOS.

Resolution

Resolución:
Dell proporciona varias mitigaciones y limitaciones al uso de contraseñas con restablecimiento no autorizado en plataformas comerciales. Se recomienda que los clientes sigan las prácticas recomendadas de seguridad y eviten el acceso físico no autorizado a los dispositivos. Los clientes también pueden optar por activar la función Master Password Lockout en la configuración del BIOS (disponible en plataformas lanzadas desde el 2011) para evitar que se restablezcan las contraseñas de administrador, sistema y disco duro.

Consulte la asesoría de seguridad de Dell para obtener más detalles: https://www.dell.com/support/kbdoc/000180741


Preguntas frecuentes:

P: ¿Qué modelos se ven afectados?
R: Esto afecta a la mayoría de los sistemas Dell para cliente comercial y a algunos sistemas de cliente consumidor. Cualquier plataforma que muestre los siguientes identificadores en las solicitudes de contraseña previas al arranque del BIOS (Dell Security Manager)
  • <ETIQUETA DE SERVICIO o SN DE DISCO DURO>-D35B
  • <ETIQUETA DE SERVICIO o SN DE DISCO DURO>-1F5A
  • <ETIQUETA DE SERVICIO o SN DE DISCO DURO>-595B
  • <ETIQUETA DE SERVICIO o SN DE DISCO DURO>-2A7B
  • <ETIQUETA DE SERVICIO o SN DE DISCO DURO>-1D3B
  • <ETIQUETA DE SERVICIO o SN DE DISCO DURO>-1F66
  • <ETIQUETA DE SERVICIO o SN DE DISCO DURO>-6FF1
  • <ETIQUETA DE SERVICIO o SN DE DISCO DURO>-BF97

P: ¿Cómo puedo proteger mi plataforma de un restablecimiento de contraseña no autorizado?
R: Hay varias mitigaciones y prácticas recomendadas que los clientes deben seguir para proteger sus plataformas.
  • Bloqueo de contraseña maestra. Se puede habilitar en la configuración del BIOS. Una vez activada, las contraseñas de administrador, sistema y HDD están protegidas del restablecimiento mediante contraseña de recuperación. (Disponible en sistemas fabricados desde el 2011 en adelante)
  • Un usuario debe estar físicamente presente en el sistema para utilizar la contraseña de recuperación. Por lo tanto, siempre se debe implementar una protección física de la plataforma.

Advertencia: Si se selecciona la opción Master Password Lockout y el cliente olvida la contraseña, Dell no podrá asistir en la recuperación de contraseñas. La plataforma quedará en un estado irrecuperable y se deberá reemplazar la placa base o el disco duro.
P: ¿Se puede utilizar esta herramienta de forma remota para restablecer mis contraseñas?
R: No, un usuario debe estar físicamente presente en el sistema para utilizar la contraseña de recuperación. Por lo tanto, siempre se debe implementar una protección física de la plataforma.
 
P: ¿Cómo puedo determinar si esta herramienta se utilizó en mi plataforma?
R: Se puede detectar el uso de la contraseña de recuperación, ya que su uso da lugar a la eliminación de las contraseñas de BIOS correspondientes (administrador/sistema o HDD administrado por BIOS).
 
P: ¿El uso de la contraseña de recuperación permite el acceso a los datos en mi HDD?
R: Cuando se configura la contraseña de HDD, se presenta una opción para forzar un borrado del HDD si se utiliza la contraseña de recuperación de HDD. Si se seleccionó esta opción cuando se estableció la contraseña del HDD, el disco duro se borra cuando se utiliza la contraseña de recuperación de HDD.  Por lo tanto, no se permite el acceso a los datos. Si esta opción no está seleccionada, se conservan los datos en el HDD. Sin embargo, si se utiliza un cifrado de HDD (por ejemplo, BitLocker), se puede acceder a los datos, pero la información de la unidad queda protegida contra divulgaciones.
 
P: ¿El uso de la contraseña de recuperación permite el acceso al sistema operativo?
R: El uso de la contraseña de recuperación no permite una omisión de las credenciales del sistema operativo.
 
P: ¿Esto afecta a las unidades de autocifrado que utilizan una aplicación externa de administración de SED para configurar contraseñas en mi unidad?
R:  Esta herramienta no afecta a las unidades de autocifrado que se aprovisionan y administran mediante una aplicación externa de administración de SED. La herramienta de restablecimiento solo afecta a las contraseñas del BIOS administradas por la configuración del BIOS.
 
P: ¿Esta herramienta compromete la integridad del firmware del BIOS y la raíz de confianza de mi plataforma?
R: El uso de la contraseña de recuperación no compromete la integridad del firmware del BIOS. El firmware del BIOS está protegido por la protección de verificación de firma NIST 800-147, así como por funciones adicionales como Intel BootGuard, Intel BIOSGuard y protecciones de escritura de firmware de chipsets. El uso de la herramienta puede permitir el acceso a la interfaz de configuración del BIOS, lo cual permite cambiar la configuración de seguridad de la plataforma, como Secure Boot Enable y la configuración de TPM.

Article Properties


Last Published Date

17 Dec 2020

Version

1

Article Type

Solution

Rate This Article


Accurate
Useful
Easy to Understand
Was this article helpful?

0/3000 characters