Nieautoryzowane narzędzia do resetowania hasła systemu BIOS w produktach klienckich firmy Dell

Numer referencyjny DSA: DSA-2020-119: Luka w zabezpieczeniach związana z nieautoryzowanym narzędziem do resetowania hasła systemu BIOS w produktach klienckich firmy Dell

Szczegóły: 

Niektóre platformy komercyjne i konsumenckie klientów Dell obsługują funkcję resetowania hasła, przeznaczoną do pomocy autoryzowanym klientom, którzy zapomnieli hasła. Dell wie o narzędziach do generowania haseł, które mogą generować hasła odzyskiwania systemu BIOS. Narzędzia, których nie są autoryzowane przez firmę Dell, mogą zostać wykorzystane przez osobę atakującą do zresetowania haseł systemu BIOS i haseł dysków twardych, które są zarządzane przez system BIOS. Nieuwierzytelniona osoba atakująca, która ma fizyczny dostęp do systemu, może potencjalnie wykorzystać tę lukę, aby ominąć zabezpieczenia konfiguracji systemu BIOS, dostępu do dysku twardego i uwierzytelniania przed uruchomieniem systemu BIOS.

Rozwiązanie: 

Dell oferuje kilka sposobów łagodzenia skutków i ograniczeń użycia nieautoryzowanego resetowania haseł resetowania na platformach komercyjnych. Zalecamy stosowanie najlepszych praktyk w zakresie bezpieczeństwa i zapobieganie nieautoryzowanemu dostępowi fizycznym do urządzeń. Klienci mogą również włączyć funkcję blokady hasła głównego w konfiguracji systemu BIOS (dostępnej na platformach od 2011 r.), aby chronić hasła administratora, systemu i dysku twardego przed resetem.

Szczegółowe informacje można znaleźć w poradniku bezpieczeństwa firmy Dell: https://www.dell.com/support/kbdoc/000180741

Najczęściej zadawane pytania:    

Pytanie: Które modele są zagrożone?

Odpowiedź: Dotyczy to większości systemów komercyjnych klienta i systemów konsumenckich Dell. Dowolna platforma wyświetlająca następujące identyfikatory w monitach o hasło przed uruchomieniem systemu BIOS (Dell Security Manager)

• <KOD SERVICE TAG lub dysk twardy SN-D35B>
• <Kod SERVICE TAG lub dysk twardy SN-1F5A>
• <KOD SERVICE TAG lub dysk twardy SN-595B>
• <KOD SERVICE TAG lub dysk twardy SN-2A7B>
• <KOD SERVICE TAG lub dysk twardy SN-1D3B>
• <Kod SERVICE TAG lub dysk twardy SN-1F66>
• <KOD SERVICE TAG lub dysk twardy SN-6FF1>
• <Kod SERVICE TAG lub dysk twardy SN-BF97>

Pytanie: Jak chronić platformę przed nieuprawnionym resetem hasła?

Odpowiedź: Istnieje kilka metod ograniczania tego problemu i najlepszych praktyk, które klienci powinni zastosować w celu ochrony swoich platform.

• Blokada hasła głównego. Można ją włączyć z poziomu konfiguracji systemu BIOS. Po włączeniu hasła administratora, systemu i dysku twardego będą zabezpieczone przed zresetowaniem za pomocą hasła odzyskiwania. (Dostępne w systemach wyprodukowanych w 2011 roku lub później)
• Użytkownik musi być fizycznie obecny przy komputerze, aby można było użyć hasła odzyskiwania. Z tego powodu fizyczna ochrona platformy powinna być zawsze stosowana.

Ostrzeżenie: Jeżeli wybrano opcję blokady hasła głównego, a klient zapomni hasła, firma Dell nie będzie mogła pomóc w odzyskaniu haseł. Nie będzie możliwe odzyskanie platformy, przez co będzie trzeba wymienić płytę główną lub dysk twardy.

Pytanie: Czy można użyć tego narzędzia zdalnie w celu zresetowania haseł?

Odpowiedź: Nie, użytkownik musi być fizycznie obecny przy komputerze, aby można było użyć hasła odzyskiwania. Z tego powodu fizyczna ochrona platformy powinna być zawsze stosowana.

Pytanie: Jak mogę sprawdzić, czy to narzędzie było używane na mojej platformie?

Odpowiedź: Użycie hasła odzyskiwania może zostać wykryte, ponieważ powoduje usunięcie odpowiednich hasełsystemu BIOS (administratora/systemu lub dysków twardych zarządzanych przez system BIOS).

Pytanie: Czy użycie hasła odzyskiwania umożliwia dostęp do danych na dysku twardym?

Odpowiedź: Po ustawieniu hasła dysku twardego pojawia się opcja wymuszenia wymazania dysku twardego w przypadku użycia hasła odzyskiwania dysku twardego. Jeśli ta opcja została wybrana i ustawiono hasło dysku twardego, dysk twardy zostanie wymazany po użyciu hasła odzyskiwania dysku twardego.  Z tego powodu nie można uzyskać dostępu do danych. Jeśli nie wybrano tej opcji, dane na dysku twardym są zachowywane. Jeśli jednak korzysta się z szyfrowania dysku twardego (na przykład BitLocker), dostęp do danych jest możliwy, ale informacje znajdujące się na tym dysku są chronione przed ujawnieniem.

Pytanie: Czy użycie hasła odzyskiwania umożliwia dostęp do systemu operacyjnego?

Odpowiedź: Użycie hasła odzyskiwania nie zezwala na pominięcie poświadczeń systemu operacyjnego.

Pytanie: Czy ma to wpływ na dyski samoszyfrujące, które wykorzystują zewnętrzną aplikację do zarządzania SED do ustawiania haseł na dysku?

Odpowiedź:  To narzędzie nie wpływa na dyski samoszyfrujące, które zostały zainicjowane i są zarządzane przez zewnętrzne aplikacje do zarządzania SED. Narzędzie resetowania wpływa wyłącznie na hasła systemu BIOS zarządzane przez konfigurację systemu BIOS.

Pytanie: Czy to narzędzie narusza integralność oprogramowania wewnętrznego systemu BIOS i głównego zaufanego użytkownika platformy?

Odpowiedź: Użycie hasła odzyskiwania nie osłabia integralności oprogramowania sprzętowego systemu BIOS. Oprogramowanie wewnętrzne BIOS jest chronione przez zabezpieczenia weryfikacji podpisów NIST 800-147, a także dodatkowe funkcje, takie jak Intel BootGuard, Intel BIOSGuard i zabezpieczenia przed zapisem oprogramowania wewnętrznego chipsetu. Za pomocą tego narzędzia można uzyskać dostęp do interfejsu konfiguracji systemu BIOS, co mogłoby umożliwić zmianę ustawień zabezpieczeń platformy, np. ustawienia Secure Boot Enable i TPM.  

Polecane artykuły

Poniżej przedstawiono niektóre polecane artykuły dotyczące tego tematu, które mogą Cię zainteresować.

• Pomoc techniczna firmy Dell dotycząca utraty hasła systemu BIOS
• Funkcja haseł BIOS dostawcy Dell Command PowerShell
• Resetowanie lub usuwanie hasła systemu BIOS
• Informacje ogólne hasłach dysku twardego i systemu BIOS
• Przywrócenie domyślnej konfiguracji systemu BIOS w systemie może być niezgodne ze skonfigurowanymi fabrycznie ustawieniami systemu BIOS