Ferramentas de redefinição de senhas do BIOS não autorizadas para produtos de clients Dell

Summary: Ferramentas de redefinição de senhas do BIOS não autorizadas para produtos de clients Dell

Article Content


Symptoms

Cause

Detalhes:
As plataformas comerciais e de consumidor selecionadas para clients Dell oferecem suporte a um recurso de redefinição de senhas, projetado para ajudar os clientes autorizados que esquecem suas senhas. A Dell está ciente de que há ferramentas de geração de senhas que podem gerar senhas de recuperação do BIOS. Um invasor fisicamente presente pode usar as ferramentas que não são autorizadas pela Dell para redefinir senhas do BIOS e senhas de HDD (hard-drive, disco rígido) gerenciadas pelo BIOS. Um invasor não autenticado com acesso físico ao sistema pode explorar essa vulnerabilidade para contornar as restrições de segurança da configuração do BIOS, do acesso ao disco rígido e da autenticação de pré-inicialização do BIOS.

Resolution

Resolução:
A Dell fornece diversas reduções e limitações ao uso de senhas de redefinição não autorizadas em plataformas comerciais. Recomendamos que os clientes sigam as práticas recomendadas de segurança e previnam o acesso físico não autorizado aos dispositivos. Os clientes também podem optar por ativar o recurso Master Password Lockout na configuração do BIOS (disponível nas plataformas produzidas a partir de 2011) para proteger as senhas de administrador, sistema e disco rígido contra a redefinição.

Consulte o Aviso de segurança da Dell para obter mais detalhes: https://www.dell.com/support/kbdoc/000180741


Perguntas frequentes:

P: Quais modelos são afetados?
R: Esse problema afeta a maioria dos sistemas comerciais de clients Dell e determinados sistemas de consumidor. Qualquer plataforma que exiba os seguintes identificadores nos prompts de senha de pré-inicialização do BIOS (Dell Security Manager)
  • <ETIQUETA DE SERVIÇO ou NÚMERO DE SÉRIE DE DISCO RÍGIDO>-D35B
  • <ETIQUETA DE SERVIÇO ou NÚMERO DE SÉRIE DE DISCO RÍGIDO>-1F5A
  • <ETIQUETA DE SERVIÇO ou NÚMERO DE SÉRIE DE DISCO RÍGIDO>-595B
  • <ETIQUETA DE SERVIÇO ou NÚMERO DE SÉRIE DE DISCO RÍGIDO>-2A7B
  • <ETIQUETA DE SERVIÇO ou NÚMERO DE SÉRIE DE DISCO RÍGIDO>-1D3B
  • <ETIQUETA DE SERVIÇO ou NÚMERO DE SÉRIE DE DISCO RÍGIDO>-1F66
  • <ETIQUETA DE SERVIÇO ou NÚMERO DE SÉRIE DE DISCO RÍGIDO>-6FF1
  • <ETIQUETA DE SERVIÇO ou NÚMERO DE SÉRIE DE DISCO RÍGIDO>-BF97

P: Como posso proteger minha plataforma contra uma redefinição de senha não autorizada?
R: Há várias reduções e práticas recomendadas que os clientes devem seguir para auxiliar na proteção das plataformas.
  • Master Password Lockout. Ele pode ser ativado na configuração do BIOS. Assim que ele for ativado, as senhas de administrador, sistema e disco rígido ficarão protegidas contra a redefinição por senha de recuperação. (Disponível em sistemas produzidos a partir de 2011)
  • Um usuário precisa estar fisicamente presente no sistema para usar a senha de recuperação. Portanto, a proteção física da plataforma deve ser sempre praticada.

Aviso: Se a opção Master Password Lockout for selecionada e o cliente esquecer a senha posteriormente, a Dell não poderá ajudar na recuperação de senhas. A plataforma será irrecuperável e a placa-mãe ou o disco rígido precisará ser substituído.
P: Posso usar essa ferramenta remotamente para redefinir minhas senhas?
R: Não, um usuário precisa estar fisicamente presente no sistema para usar a senha de recuperação. Portanto, a proteção física da plataforma deve ser sempre praticada.
 
P: Como posso averiguar se essa ferramenta foi usada em minha plataforma?
R: O uso da senha de recuperação pode ser detectado porque, quando ela é usada, as senhas aplicáveis do BIOS são removidas (de administrador/sistema ou de disco rígido gerenciadas pelo BIOS).
 
P: O uso da senha de recuperação concede acesso aos dados que estão no meu disco rígido?
R: Durante a configuração da senha do disco rígido, é apresentada uma opção para forçar a limpeza do disco rígido se a senha de recuperação for usada. Se essa opção tiver sido selecionada durante a configuração da senha do disco rígido, ocorrerá a limpeza do disco rígido quando a senha de recuperação for usada.  Portanto, o acesso aos dados não será permitido. Se essa opção não estiver selecionada, os dados que estão no disco rígido serão mantidos. No entanto, se a criptografia de disco rígido for usada (como o BitLocker), os dados poderão ser acessados, mas as informações contidas na unidade ficarão protegidas contra a divulgação.
 
P: O uso da senha de recuperação concede acesso ao sistema operacional?
R: O uso da senha de recuperação não permite um desvio das credenciais do SO.
 
P: Essa ferramenta afeta as unidades de criptografia automática que utilizam um aplicativo externo de gerenciamento de SED para definir senhas na minha unidade?
R:  Essa ferramenta não afeta as unidades de criptografia automática que são provisionadas e gerenciadas por aplicativos externos de gerenciamento de SED. A ferramenta de redefinição afeta somente as senhas do BIOS gerenciadas pela configuração do BIOS.
 
P: Essa ferramenta compromete a integridade do firmware do BIOS e a raiz de confiança da plataforma?
R: O uso da senha de recuperação não compromete a integridade do firmware do BIOS. O firmware do BIOS é protegido pela proteção de verificação de assinatura NIST 800-147 e também por outros recursos, como o Intel BootGuard, o Intel BIOSGuard e as proteções contra gravação de firmware de chipset. O uso da ferramenta pode conceder acesso à interface de configuração do BIOS, o que talvez permita alterar as configurações de segurança da plataforma, como as do Secure Boot Enable e do TPM.

Article Properties


Last Published Date

17 Dec 2020

Version

1

Article Type

Solution

Rate This Article


Accurate
Useful
Easy to Understand
Was this article helpful?

0/3000 characters