Dell-klientprodukter – obehöriga verktyg för återställning av BIOS-lösenord

DSA-referens: DSA-2020-119: Dell-klientprodukter – säkerhetsrisker med obehöriga verktyg för återställning av BIOS-lösenord

Details: 

Utvalda Dell-klientplattformar för kommersiell användning och konsumenter har funktioner för lösenordsåterställning som är utformade för att hjälpa behöriga kunder som glömmer sitt lösenord. Dell känner till verktyg för lösenordsgenerering som kan generera BIOS-återställningslösenord. Verktygen, som inte har godkänts av Dell, kan användas av en fysiskt närvarande angripare för att återställa BIOS-lösenord och BIOS-hanterade hårddisklösenord. En ej behörig angripare med fysisk åtkomst till systemet kan potentiellt utnyttja det här säkerhetsproblemet för att kringgå säkerhetsbegränsningar för BIOS-konfiguration, hårddiskåtkomst och BIOS-autentisering före start.

Lösning: 

Dell tillhandahåller flera åtgärder och begränsningar för användning av ej behörig återställning av lösenord på kommersiella plattformar. Vi rekommenderar att kunderna följer bästa praxis för säkerhet och förhindrar obehörig fysisk åtkomst till enheter. Kunder kan även välja att aktivera funktionen för utelåsning av huvudlösenord från BIOS-inställningarna (tillgängligt på plattformar från 2011) för att skydda administratörs-, system- och HDD-lösenord från att återställas.

Mer information finns i Dells säkerhetsrekommendation: https://www.dell.com/support/kbdoc/000180741

Vanliga frågor och svar:    

F: Vilka modeller påverkas?

A: Detta påverkar de flesta kommersiella Dell-klientsystem och utvalda Dell-klientsystem för konsumenter. Alla plattformar som visar följande identifierare i BIOS-förstartsmeddelanden om lösenord (Dell Security Manager)

• <SERVICE TAG-nummer eller HDD SN-D35B>
• <SERVICE TAG-nummer eller HDD SN-1F5A>
• <SERVICE TAG-nummer eller HDD SN-595B>
• <SERVICE TAG-nummer eller HDD SN-2A7B>
• <SERVICE TAG-nummer eller HDD SN-1D3B>
• <SERVICE TAG eller HDD SN-1F66>
• <SERVICE TAG-nummer eller HDD SN-6FF1>
• <SERVICE TAG-nummer eller HDD SN-BF97>

F: Hur kan jag skydda plattformen från en återställning av obehöriga lösenord?

A: Det finns flera åtgärder och metoder enligt bästa praxis som kunder bör använda för att skydda sina plattformar.

• Utelåsning av huvudlösenord. Den här funktionen kan aktiveras i BIOS-inställningarna. När funktionen är aktiverad skyddas administratörs-, system- och hårddisklösenord från återställning med återställningslösenord. (Tillgängligt på system som har tillverkats 2011 eller senare)
• En användare måste vara fysiskt närvarande vid systemet för att använda återställningslösenordet. Det innebär att plattformen alltid ska skyddas fysiskt.

Varning! Om alternativet för utelåsning av huvudlösenord är valt och kunden senare glömmer lösenordet kan Dell inte hjälpa till med återställning av lösenord. Plattformen kan inte återställas och moderkortet eller hårddisken måste bytas ut.

F: Kan det här verktyget användas på distans för att återställa mina lösenord?

A: Nej, en användare måste vara fysiskt närvarande vid systemet för att använda återställningslösenordet. Det innebär att plattformen alltid ska skyddas fysiskt.

F: Hur tar jag reda på om det här verktyget användes på plattformen?

A: Användning av återställningslösenordet kan upptäckas, eftersom användningen leder till att tillämpliga BIOS-lösenord tas bort (administratörs-/systemlösenord eller BIOS-hanteradehårddisklösenord).

F: Ger användning av återställningslösenordet åtkomst till data på hårddisken?

A: När du ställer in hårddisklösenordet visas ett alternativ för framtvingad hårddiskrensning om återställningslösenordet för hårddisken används. Om det alternativet valdes när hårddisklösenordet ställdes in rensas hårddisken när återställningslösenordet för hårddisken används.  Så, nej, ingen åtkomst till data ges. Om alternativet inte valdes lämnas data kvar på hårddisken. Om hårddiskkryptering (till exempel BitLocker) används är data emellertid tillgängliga men informationen på enheten skyddas från att visas.

F: Tillåter användning av återställningslösenordet åtkomst till operativsystemet?

A: Användning av återställningslösenordet innebär inte att inloggningsuppgifterna för operativsystemet åsidosätts.

F: Påverkar detta självkrypterande enheter som använder ett externt SED-hanteringsprogram för att ställa in lösenord på min enhet?

A:  Verktyget påverkar inte självkrypterande enheter som tillhandahålls och hanteras av ett externt SED-hanteringsprogram. Återställningsverktyget påverkar endast BIOS-lösenord som hanteras via BIOS-inställningarna.

F: Komprometterar det här verktyget integriteten för den fasta BIOS-programvaran och plattformens förtroenderot?

A: Användning av återställningslösenordet äventyrar inte integriteten för den fasta BIOS-programvaran. Fast BIOS-programvara skyddas av NIST 800-147-signaturverifieringsskydd samt av ytterligare funktioner, till exempel Intel BootGuard, Intel BIOSGuard och skrivskydd för fast programvara för kretsuppsättning. Användning av verktyget kan ge åtkomst till gränssnittet för BIOS-inställningar, vilket gör det möjligt att ändra säkerhetsinställningarna för plattformen, till exempel inställningarna för Secure Boot Enable och TPM.  

Rekommenderade artiklar

Här är några rekommenderade artiklar om detta ämne som kan vara av intresse för dig.

• Dells support för förlorat BIOS-lösenord
• Dell Command PowerShell Provider – BIOS-lösenordsfunktion
• Återställa eller rensa BIOS-lösenordet
• Allmän information om hårddisk- och BIOS-lösenord
• Återställning av BIOS till standardkonfiguration i ett system överensstämmer eventuellt inte med de BIOS-inställningar som konfigurerats från fabriken