Dell 클라이언트 제품 승인되지 않은 BIOS 암호 재설정 툴

DSA 참조: DSA-2020-119: Dell 클라이언트 제품 승인되지 않은 BIOS 암호 재설정 툴 취약성

세부 정보: 

일부 Dell 클라이언트 상용 및 고객 플랫폼 지원은 암호를 잊어버린 공인 고객을 돕기 위해 설계된 암호 재설정 기능을 지원합니다. Dell은 BIOS 복구 암호를 생성할 수 있는 암호 생성 툴을 알고 있습니다. Dell에서 승인하지 않은 툴은 실제로 존재하는 공격자가 BIOS 암호 및 BIOS 관리(하드 드라이브) HDD 암호를 재설정하는 데 사용할 수 있습니다. 시스템에 물리적으로 액세스할 수 있는 인증되지 않은 공격자가 잠재적으로 이 취약성을 악용하여 BIOS 설정 구성, HDD 액세스 및 BIOS 부팅 전 인증에 대한 보안 제한을 우회할 수 있습니다.

해결 방법: 

Dell은 상용 플랫폼에서 승인되지 않은 재설정 암호 사용에 대한 몇 가지 완화 조치와 제한 사항을 제공합니다. 고객은 보안 모범 사례를 따르고 디바이스에 대한 승인되지 않은 물리적 액세스를 방지할 것을 권장합니다. 또한, 고객은 BIOS 설정에서 마스터 비밀번호 잠금 기능을 활성화하여(커머셜 플랫폼, 즉 2024년 3월 이후 Insyde BIOS 릴리스가 포함된 모든 플랫폼 및 2011년 이후에 시작된 기타 모든 플랫폼에서 사용 가능) 관리자, 시스템, HDD 비밀번호가 재설정되지 않도록 보호할 수 있습니다.

자세한 내용은 Dell의 보안 권장 사항을 참조하십시오. DSA-2020-119: Dell 클라이언트 제품 승인되지 않은 BIOS 암호 재설정 툴 취약성

자주 묻는 질문:    

Q: 어떤 모델이 영향을 받습니까?

A: 대부분의 Dell 클라이언트 상용 시스템과 일부 소비자 시스템에 영향을 미칩니다. BIOS 부팅 전 암호 프롬프트(Dell Security Manager)에 다음 식별자를 표시하는 모든 플랫폼에 영향을 미칩니다.

• <서비스 태그 또는 HDD 일련번호>-D35B
• <서비스 태그 또는 HDD 일련번호>-1F5A
• <서비스 태그 또는 HDD 일련번호>-595B
• <서비스 태그 또는 HDD 일련번호>-2A7B
• <서비스 태그 또는 HDD 일련번호>-1D3B
• <서비스 태그 또는 HDD 일련번호>-1F66
• <서비스 태그 또는 HDD 일련번호>-6FF1
• <서비스 태그 또는 HDD 일련번호>-BF97
• <서비스 태그 또는 HDD 일련번호>-E7A8

B: Insyde BIOS 플랫폼 - 플랫폼이 Insyde BIOS 기반인지 확인하려면

1. 컴퓨터를 켭니다.
2. Dell 로고 화면에서 키를 여러 번 눌러 BIOS 또는 시스템 설정으로 들어갑니다.
3. 또는 키를 여러 번 눌러 1회 부팅 메뉴를 실행한 다음 메뉴에서 BIOS 설정 또는 시스템 설정을 선택합니다.
4. Insyde BIOS 플랫폼은 설정 페이지 상단에 "InsydeH2O Setup Utility"를 표시합니다.

Q: 승인되지 않은 비밀번호 재설정으로부터 플랫폼을 보호하려면 어떻게 해야 합니까?

A: 고객이 플랫폼을 보호하기 위해 따라야 할 몇 가지 완화 조치와 모범 사례가 있습니다.

• Master Password Lockout 기능을 BIOS 설정에서 활성화할 수 있습니다. 활성화되면 관리자, 시스템 및 HDD 암호가 복구 암호를 사용하여 재설정되지 않도록 보호됩니다. (커머셜 플랫폼, 즉 2024년 3월 이후 Insyde BIOS 릴리스가 포함된 모든 플랫폼 및 2011년 이후 시작된 기타 모든 플랫폼에서 사용 가능)  
• 사용자가 시스템을 직접 사용해야 복구 암호를 사용할 수 있습니다. 따라서 플랫폼의 물리적 보호는 항상 실행되어야 합니다.

경고: Master Password Lockout 옵션을 선택하고 고객이 이후에 암호를 잊어버린 경우 Dell은 암호 복구를 지원할 수 없습니다. 플랫폼은 복구될 수 없으며 마더보드 또는 하드 드라이브를 교체해야 합니다.

Q: 이 툴을 원격으로 사용하여 비밀번호를 재설정할 수 있습니까?

A: 아니요, 사용자가 시스템을 직접 사용해야 복구 암호를 사용할 수 있습니다. 따라서 플랫폼의 물리적 보호는 항상 실행되어야 합니다.

Q: 이 툴이 내 플랫폼에서 사용되었는지 어떻게 확인할 수 있습니까?

A: 복구 비밀번호를 사용하면 탐지할 수 있습니다. 해당 BIOS 비밀번호(관리자/시스템 또는 BIOS 관리 HDD)가 제거되기 때문입니다.

Q: 복구 비밀번호를 사용하면 HDD의 데이터에 액세스할 수 있습니까?

A: HDD 암호를 설정할 때 HDD 복구 암호를 사용할 경우 HDD를 강제로 삭제하는 옵션이 표시됩니다. HDD 암호를 설정할 때 이 옵션을 선택한 경우 HDD 복구 암호를 사용하면 HDD가 삭제됩니다.  따라서 데이터 액세스가 허용되지 않습니다. 이 옵션을 선택하지 않으면 HDD의 데이터가 유지됩니다. 그러나 HDD 암호화를 사용하는 경우(예: BitLocker) 데이터에 액세스할 수 있지만 드라이브의 정보는 공개되지 않도록 보호됩니다.

Q: 복구 비밀번호를 사용하면 운영 체제에 액세스할 수 있습니까?

A: 복구 암호를 사용해도 OS 자격 증명을 우회할 수 없습니다.

Q: 외부 SED 관리 애플리케이션을 사용하여 드라이브에 비밀번호를 설정하는 SED(Self-Encrypting Drive)에 영향을 미칩니까?

A:  이 툴은 외부 SED 관리 애플리케이션에서 프로비저닝하고 관리하는 SED(Self-Encrypting Drive)에는 영향을 미치지 않습니다. 재설정 툴은 BIOS 설정에서 관리하는 BIOS 암호에만 영향을 줍니다.

Q: 이 툴은 BIOS 펌웨어의 무결성과 신뢰할 수 있는 플랫폼 루트를 손상시킵니까?

A: 복구 암호를 사용해도 BIOS 펌웨어의 무결성이 손상되지는 않습니다. BIOS 펌웨어는 NIST 800-147 서명 검증 보호뿐만 아니라 인텔 BootGuard, 인텔 BIOSGuard 및 칩셋 펌웨어 쓰기 보호와 같은 추가 기능으로 보호됩니다. 이 툴을 사용하면 BIOS 설정 인터페이스에 액세스할 수 있으므로 보안 부팅 활성화 및 TPM 설정과 같은 플랫폼의 보안 설정을 변경할 수 있습니다.  

권장 문서

다음은 사용자가 관심 있을 만한, 이 주제와 관련된 몇 가지 권장 문서입니다.

• BIOS 비밀번호 분실에 대한 Dell 지원
• Dell Command PowerShell Provider BIOS 비밀번호 기능
• BIOS 비밀번호를 리셋 또는 지우는 방법
• 일반 하드 드라이브 및 BIOS 암호 정보
• 시스템에서 BIOS를 기본 구성으로 재설정하면 출고 시 구성된 BIOS 설정과 일치하지 않을 수 있음