Dell producten voor klanten - hulpprogramma's tegen het ongeautoriseerd resetten van BIOS-wachtwoorden

DSA-referentie: DSA-2020-119: Dell producten voor klanten - hulpprogramma tegen een beveiligingslek waarbij BIOS-wachtwoorden ongeautoriseerd worden gereset

Details: 

Bepaalde Dell platforms voor consumenten en zakelijke klanten ondersteunen een functie voor het opnieuw instellen van wachtwoorden die is ontworpen om geautoriseerde klanten te helpen wanneer zij hun wachtwoorden zijn vergeten. Dell is zich ervan bewust dat er hulpprogramma’s zijn voor het genereren van wachtwoorden waarmee BIOS-herstelwachtwoorden kunnen worden gegenereerd. De hulpprogramma's, die niet zijn geautoriseerd door Dell, kunnen worden gebruikt door een fysiek aanwezige aanvaller om BIOS-wachtwoorden en BIOS-beheerde harde-schijf-wachtwoorden opnieuw in te stellen. Een ongeautoriseerde aanvaller met fysieke toegang tot het systeem kan mogelijk misbruik maken van dit beveiligingslek om beveiligingsbeperkingen voor configuratie van BIOS-instellingen, HDD-toegang en BIOS pre-boot-authenticatie te omzeilen.

Oplossing: 

Dell biedt verschillende oplossingen en beperkingen om het ongeautoriseerd opnieuw instellen van wachtwoorden op zakelijke platforms te verhinderen. We raden aan klanten aan de aanbevolen procedures voor beveiliging te volgen en ongeautoriseerde fysieke toegang tot apparaten te voorkomen. Klanten kunnen er ook voor kiezen om de functie Master Password Lockout in te schakelen in de BIOS Setup (beschikbaar op platforms vanaf 2011) om beheerders-, systeem- en HDD-wachtwoorden te beschermen tegen resetten.

Zie het beveiligingsadvies van Dell voor meer informatie: https://www.dell.com/support/kbdoc/000180741

Veelgestelde vragen:    

V: Op welke modellen is dit van toepassing?

A: Dit is van invloed op de meeste Dell systemen voor zakelijke klanten en bepaalde systemen voor consumenten. Elk platform dat de volgende identifiers weergeeft bij het BIOS preboot-wachtwoord (Dell Security Manager)

• <SERVICETAG of HDD SN-D35B>
• <SERVICETAG of HDD SN-1F5A>
• <SERVICETAG of HDD SN-595B>
• <SERVICETAG of HDD SN-2A7B>
• <SERVICETAG of HDD SN-1D3B>
• <SERVICETAG of HDD SN-1F66>
• <SERVICETAG of HDD SN-6FF1>
• <SERVICETAG of HDD SN-BF97>

V: Hoe kan ik mijn platform beschermen tegen ongeautoriseerde wachtwoordherstel?

A: Er zijn verschillende beperkende maatregelen en aanbevolen werkwijzen die klanten moeten volgen om hun platformen te helpen beschermen.

• Master Password Lockout. Het kan worden ingeschakeld vanuit de BIOS Setup. Als deze optie is ingeschakeld, worden de wachtwoorden voor de beheerder, het systeem en de harde schijf beschermd tegen opnieuw instellen met een herstelwachtwoord. (Beschikbaar op systemen die zijn geproduceerd in of na 2011)
• Een gebruiker moet fysiek bij het systeem aanwezig zijn om het herstelwachtwoord te kunnen gebruiken. Fysieke bescherming van het platform moet dus altijd worden toegepast.

Waarschuwing: Als de optie Master Password Lockout is geselecteerd en de klant vervolgens het wachtwoord vergeet, kan Dell niet helpen bij het herstellen van wachtwoorden. Het platform kan niet meer worden hersteld en het moederbord of de harde schijf moet worden vervangen.

V: Kan deze tool op afstand worden gebruikt om mijn wachtwoorden opnieuw in te stellen?

A: Nee, een gebruiker moet fysiek aanwezig zijn bij het systeem om het herstelwachtwoord te kunnen gebruiken. Fysieke bescherming van het platform moet dus altijd worden toegepast.

V: Hoe kan ik bepalen of deze tool is gebruikt op mijn platform?

A: Het gebruik van het herstelwachtwoord kan worden gedetecteerd, omdat het gebruik ervan leidt tot het verwijderen van het toepasselijke BIOS- wachtwoorden (admin/system of door BIOS beheerde HDD).

V: Maakt het gebruik van het herstelwachtwoord toegang tot de data op mijn HDD mogelijk?

A: Wanneer u een HDD-wachtwoord instelt, wordt een optie gepresenteerd om het wissen van de HDD te forceren als het HDD-herstelwachtwoord wordt gebruikt. Als deze optie was geselecteerd toen het HDD-wachtwoord werd ingesteld, wordt de HDD gewist bij het gebruik van het HDD-herstelwachtwoord.  Er is dus geen datatoegang toegestaan. Als deze optie niet is geselecteerd, blijven de data op de HDD behouden. Als er echter HDD-versleuteling wordt gebruikt (zoals BitLocker), zijn de data toegankelijk, maar de informatie op de schijf is beschermd tegen openbaarmaking.

V: Maakt het gebruik van het herstelwachtwoord toegang tot het besturingssysteem mogelijk?

A: Het gebruik van het herstelwachtwoord staat niet toe dat de referenties van het besturingssysteem worden omzeild.

V: Is dit van invloed op zelfversleutelende schijven die gebruikmaken van een externe SED-beheerapplicatie om wachtwoorden in te stellen op mijn schijf?

A:  Dit hulpprogramma heeft geen invloed op zelfversleutelde schijven die worden ingericht en beheerd door een externe SED-beheerapplicatie. Het reset-hulpprogramma is alleen van invloed op BIOS-wachtwoorden die worden beheerd door BIOS Setup.

V: Compromittert deze tool de integriteit van mijn BIOS-firmware en mijn platform root of trust?

A: Het gebruik van het herstelwachtwoord brengt de integriteit van de BIOS-firmware niet in gevaar. BIOS-firmware wordt beschermd door NIST 800-147-handtekeningverificatie en extra functies zoals Intel BootGuard, Intel BIOSGuard en schrijfbeveiligingen voor chipsetfirmware. Gebruik van het hulpprogramma kan toegang geven tot de BIOS Setup-interface, waardoor de beveiligingsinstellingen van het platform kunnen worden gewijzigd, zoals Secure Boot Enable en TPM-instellingen.  

Aanbevolen artikelen

Hier zijn enkele aanbevolen artikelen met betrekking tot dit onderwerp die voor u interessant kunnen zijn.

• Dell Support voor verloren BIOS-wachtwoord
• Dell Command PowerShell Provider BIOS-wachtwoordenfunctie
• Het BIOS-wachtwoord resetten of wissen
• Algemene informatie over wachtwoorden voor de harde schijf en het BIOS
• Het resetten van het BIOS naar de standaardconfiguratie op een systeem komt niet altijd overeen met de BIOS-instellingen die vanuit de fabriek zijn geconfigureerd