Klientské produkty Dell – neautorizované nástroje na resetování hesel BIOS

Summary: Klientské produkty Dell, neautorizované nástroje na resetování hesel BIOS

Article Content


Symptoms

Cause

Podrobnosti:
Vybrané komerční a spotřebitelské klientské platformy Dell podporují možnost resetování hesla, která má pomoci autorizovaným zákazníkům, kteří zapomenou heslo. Společnost Dell si je vědoma nástrojů na generování hesel na obnovení systému BIOS. Tyto nástroje, které nejsou autorizované společností Dell, mohou být využity fyzicky přítomným útočníkem k resetování hesel systému BIOS a hesel pevného disku spravovaných v systému BIOS. Neoprávněný útočník s fyzickým přístupem k systému by mohl zneužít této zranitelnosti a obejít bezpečnostní omezení konfigurace nastavení systému BIOS, přístup k HDD a ověření před spuštěním systému BIOS.

Resolution

Řešení:
Společnost Dell nastavila několik omezení a opatření pro zmírnění dopadu ohledně používání neoprávněně resetovaných hesel na komerčních platformách. Doporučujeme zákazníkům řídit se doporučenými postupy ohledně zabezpečení a zabránit neoprávněnému fyzickému přístupu k zařízením. Zákazníci si mohou také zapnout funkci Master Password Lockout v nastavení systému BIOS (k dispozici na platformách od roku 2011), která zabraňuje obnovení hesel správce, systému a pevného disku.

Další podrobnosti najdete v bezpečnostním zpravodaji Dell: https://www.dell.com/support/kbdoc/000180741


Často kladené dotazy:

Otázka: Kterých modelů se tento problém týká?
Odpověď: Toto se týká většiny komerčních klientských systémů a vybraných spotřebitelských systémů Dell. Každá platforma s následujícími identifikátory u výzev k zadání hesla před spuštěním systému BIOS (Dell Security Manager)
  • <VÝROBNÍ ČÍSLO nebo SÉRIOVÉ ČÍSLO HDD>-D35B
  • <VÝROBNÍ ČÍSLO nebo SÉRIOVÉ ČÍSLO HDD>-1F5A
  • <VÝROBNÍ ČÍSLO nebo SÉRIOVÉ ČÍSLO HDD>-595B
  • <VÝROBNÍ ČÍSLO nebo SÉRIOVÉ ČÍSLO HDD>-2A7B
  • <VÝROBNÍ ČÍSLO nebo SÉRIOVÉ ČÍSLO HDD>-1D3B
  • <VÝROBNÍ ČÍSLO nebo SÉRIOVÉ ČÍSLO HDD>-1F66
  • <VÝROBNÍ ČÍSLO nebo SÉRIOVÉ ČÍSLO HDD>-6FF1
  • <VÝROBNÍ ČÍSLO nebo SÉRIOVÉ ČÍSLO HDD>-BF97

Otázka: Jak mohu ochránit svou platformu před neoprávněným resetováním hesla?
Odpověď: Existuje několik opatření na zmírnění rizika a doporučených postupů, kterými by se zákazníci v zájmu ochrany platforem měli řídit.
  • Master Password Lockout. Tato možnost může být aktivována v nastavení systému BIOS. Když je povolená, jsou hesla správce, systému a pevného disku chráněna před resetováním pomocí hesla pro obnovení. (K dispozici na systémech vyrobených od roku 2011.)
  • Uživatel musí být fyzicky přítomný u systému, aby mohl použít heslo pro obnovení. Proto je třeba dodržovat také fyzickou ochranu platformy.

Varování: Pokud je zvolena možnost Master Password Lockout a zákazník poté zapomene heslo, nebude společnost Dell moci asistovat s obnovením hesel. Platformu nebude možné obnovit a bude nutné vyměnit základní desku nebo pevný disk.
Otázka: Může být tento nástroj využit k resetování hesel na dálku?
Odpověď: Ne, uživatel musí být fyzicky přítomný u systému, aby mohl použít heslo pro obnovení. Proto je třeba dodržovat také fyzickou ochranu platformy.
 
Otázka: Jak zjistím, jestli byl na mé platformě použit tento nástroj?
Odpověď: Použití hesla pro obnovení je možné rozpoznat, protože vede k odebrání platných hesel systému BIOS (správce/systému nebopevného disku spravovaného v systému BIOS).
 
Otázka: Umožňuje použití hesla pro obnovení přístup k datům na mém pevném disku?
Odpověď: Při nastavení hesla pevného disku můžete nastavit, aby použití hesla na obnovení pevného disku vynutilo výmaz dat na něm. Pokud je tato možnost vybrána při nastavení hesla pevného disku, disk se po použití hesla na obnovení pevného disku vymaže.  Přístup k datům tak není možný. Pokud tato možnost není vybrána, je přístup k datům na pevném disku zachován. Pokud je ale použito šifrování HDD (například v nástroji BitLocker), jsou data dostupná, ale informace na disku jsou chráněny před odhalením.
 
Otázka: Umožňuje použití hesla pro obnovení přístup k operačnímu systému?
Odpověď: Použití hesla pro obnovení neumožňuje obejít přihlašovací údaje do operačního systému.
 
Otázka: Jsou dotčeny samošifrovací jednotky, které využívají externí aplikaci pro správu SED k nastavení hesel na disku?
Odpověď:  Tento nástroj nemá vliv na samošifrovací jednotky, které jsou zřízené a spravované pomocí externích aplikací pro správu SED. Nástroj na obnovení pracuje pouze s hesly systému BIOS spravovanými v nastavení systému BIOS.
 
Otázka: Ohrožuje tento nástroj integritu firmwaru BIOS a důvěryhodné kořenové autority platformy?
Odpověď: Použití hesla pro obnovení nenarušuje integritu firmwaru BIOS. Firmware BIOS je chráněn ověřováním podpisu NIST 800-147 a dalšími funkcemi, např. Intel BootGuard, Intel BIOSGuard a ochranami proti zápisu do firmwaru čipové sady. Pomocí tohoto nástroje můžete získat přístup do rozhraní BIOS Setup, kde můžete změnit nastavení zabezpečení platformy, např. Secure Boot Enable a nastavení TPM.

Article Properties


Last Published Date

17 Dec 2020

Version

1

Article Type

Solution

Rate This Article


Accurate
Useful
Easy to Understand
Was this article helpful?

0/3000 characters