Prodotti client Dell: strumenti di reimpostazione delle password del BIOS non autorizzati

Summary: Prodotti client Dell: strumenti di reimpostazione delle password del BIOS non autorizzati

Article Content


Symptoms

Cause

Dettagli:
Alcune piattaforme client Dell di tipo commerciale e consumer supportano una funzionalità di reimpostazione della password progettata per assistere i clienti autorizzati che dimenticano la password. Dell è a conoscenza di strumenti di generazione password in grado di generare password di ripristino del BIOS. Gli strumenti non autorizzati da Dell possono essere utilizzati da un malintenzionato presente fisicamente per reimpostare le password del BIOS e le password del disco rigido (HDD) gestite dal BIOS. Un malintenzionato non autenticato che accede fisicamente al sistema potrebbe sfruttare questa vulnerabilità per bypassare le restrizioni di sicurezza per la configurazione del BIOS, l'accesso all'HDD e l'autenticazione di preavvio del BIOS.

Resolution

Risoluzione:
Dell offre varie misure di mitigazione e limitazioni all'uso di password reimpostate non autorizzate sulle piattaforme commerciali. Si consiglia ai clienti di seguire le best practice per la sicurezza ed evitare l'accesso fisico non autorizzato ai dispositivi. I clienti possono anche scegliere di abilitare la funzione Master Password Lockout nella configurazione del BIOS (disponibile sulle piattaforme prodotte a partire dal 2011) per proteggere le password di amministratore, sistema e HDD dalla reimpostazione.

Per maggiori dettagli, consultare l'avviso per la sicurezza di Dell https://www.dell.com/support/kbdoc/000180741


Domande frequenti:

D: Quali modelli sono interessati?
R: Il problema riguarda la maggior parte dei sistemi client Dell di tipo commerciale e determinati sistemi di tipo consumer. Qualsiasi piattaforma che riporta i seguenti identificativi nei prompt delle password di preavvio del BIOS (Dell Security Manager)
  • < CODICE DI MATRICOLA o SN HDD>-D35B
  • < CODICE DI MATRICOLA o SN HDD>-1F5A
  • < CODICE DI MATRICOLA o SN HDD>-595B
  • < CODICE DI MATRICOLA o SN HDD>-2A7B
  • < CODICE DI MATRICOLA o SN HDD>-1D3B
  • < CODICE DI MATRICOLA o SN HDD>-1F66
  • < CODICE DI MATRICOLA o SN HDD>-6FF1
  • < CODICE DI MATRICOLA o SN HDD>-BF97

D: In che modo è possibile proteggere la piattaforma da una reimpostazione delle password non autorizzata?
R: Esistono varie misure di mitigazione e best practice che si consiglia ai clienti di seguire per proteggere le proprie piattaforme.
  • Master Password Lockout: questa funzione può essere abilitata nella configurazione del BIOS. Una volta abilitata, le password di amministratore, sistema e HDD sono protette dalla reimpostazione tramite password di ripristino (disponibile sui sistemi prodotti a partire dal 2011).
  • Un utente deve essere fisicamente presente presso il sistema per utilizzare la password di ripristino. Pertanto, è sempre consigliabile adottare misure di protezione fisica della piattaforma.

Avviso: se si seleziona l'opzione Master Password Lockout e il cliente dimentica in seguito la password, Dell non sarà in grado di fornire assistenza per il ripristino. La piattaforma non sarà ripristinabile e sarà necessario sostituire la scheda madre o il disco rigido.
D: Questo strumento può essere utilizzato in remoto per reimpostare le password?
R: No, un utente deve essere fisicamente presente presso il sistema per utilizzare la password di ripristino. Pertanto, è sempre consigliabile adottare misure di protezione fisica della piattaforma.
 
D: In che modo è possibile determinare se questo strumento è stato utilizzato sulla piattaforma?
R: È possibile rilevare l'uso della password di ripristino, poiché il suo utilizzo comporta la rimozione delle password del BIOS applicabili (amministratore/sistema o HDD gestito dal BIOS).
 
D: L'uso della password di ripristino consente l'accesso ai dati presenti sull'HDD?
R: Quando si imposta la password HDD, viene visualizzata un'opzione per forzare la cancellazione del disco rigido in vaso di utilizzo della password di ripristino HDD. Se questa opzione è stata selezionata al momento dell'impostazione della password HDD, il disco rigido viene cancellato al momento dell'utilizzo della password di ripristino HDD.  Pertanto, non è consentito alcun accesso ai dati. Se questa opzione non è selezionata, i dati presenti sull'HDD vengono conservati. Tuttavia, se si utilizza una crittografia HDD (ad esempio BitLocker), i dati sono accessibili, ma le informazioni sull'unità sono protette dalla divulgazione.
 
D: L'uso della password di ripristino consente l'accesso al sistema operativo?
R: L'uso della password di ripristino non consente di bypassare le credenziali del sistema operativo.
 
D: Questo strumento influisce sulle unità di tipo self-encrypting drive che utilizzano un'applicazione di gestione SED esterna per impostare le password sull'unità?
R:  Questo strumento non influisce sulle unità di tipo self-encrypting drive sottoposte a provisioning e gestite tramite applicazioni di gestione SED esterne. Lo strumento di reimpostazione influisce solo sulle password del BIOS gestite tramite la configurazione del BIOS.
 
D: Questo strumento compromette l'integrità del firmware del BIOS e la radice di attendibilità della piattaforma?
R: L'uso della password di ripristino non compromette l'integrità del firmware del BIOS. Il firmware del BIOS è protetto tramite verifica della firma NIST 800-147, nonché altre funzioni come Intel BootGuard, Intel BIOSGuard e strumenti di protezione dalla scrittura del firmware del chipset. L'uso dello strumento può consentire l'accesso all'interfaccia di configurazione del BIOS, permettendo di modificare le impostazioni di sicurezza della piattaforma, ad esempio le impostazioni Secure Boot Enable e TPM.

Article Properties


Last Published Date

17 Dec 2020

Version

1

Article Type

Solution

Rate This Article


Accurate
Useful
Easy to Understand
Was this article helpful?

0/3000 characters