Informations supplémentaires relatives au bulletin de sécurité DSA-2021-088 : Mise à jour de sécurité de la plate-forme client Dell suite à une faille de sécurité de contrôle d’accès insuffisant dans le pilote Dell dbutil

Questions fréquentes :
Q : Comment savoir si je suis affecté ?
R : Vous pourriez être affecté si :

• vous avez effectué une mise à jour de firmware du BIOS, de Thunderbolt, du module TPM ou de la station d’accueil sur votre système ;
• vous avez déjà utilisé Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent, Dell Platform Tags, l’utilitaire Dell BIOS Flash ou Dell SupportAssist pour PC (particuliers et professionnels).

Sinon, si vous exécutez manuellement l’utilitaire comme décrit à l’étape 2.2.2, option A de l’avis de sécurité Dell DSA-2021-088, l’utilitaire indiquera si le pilote dbutil_2_3.sys affecté a été trouvé et corrigé sur le système. Pour afficher la liste des plates-formes disposant des packages d’utilitaires de mise à jour de firmware et des outils logiciels affectés, ou pour en savoir plus sur cette faille de sécurité et savoir comment la neutraliser, consultez l’avis de sécurité Dell DSA-2021-088.

Q : J’utilise un système d’exploitation Linux. Suis-je affecté par ce problème ?
R : Non, cette faille de sécurité concerne uniquement les plates-formes Dell impactées exécutant des systèmes d’exploitation Windows.

Q : Quelle est la solution ? Comment puis-je corriger cette faille de sécurité ?
R : Tous les clients doivent exécuter les étapes définies à la section « 2. Étapes de correction » de l’avis de sécurité Dell DSA-2021-088.

Q : Pourquoi y a-t-il plusieurs étapes dans la section « 2. Étapes de correction » de l’avis de sécurité Dell DSA-2021-088 ?
R : Les étapes 2.1 et 2.2 permettent de corriger immédiatement cette faille de sécurité. L’étape 2.3 est axée sur la façon d’installer un pilote corrigé (DBUtilDrv2.sys) lors de la mise à jour de firmware planifiée suivante. À chaque étape, Dell offre des options différentes, et vous devez choisir l’option qui correspond le mieux à votre situation.

Q : Je n’ai jamais mis à jour le firmware, utilisé Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent, Dell Platform Tags, l’utilitaire Dell BIOS Flash or Dell SupportAssist pour PC (particuliers et professionnels) ; et je reçois uniquement les mises à jour du BIOS via les mises à jour Windows. Suis-je affecté ?
R : Non, les mises à jour Windows n’installent pas le pilote dbutil_2_3.sys affecté.

Q : J’ai Windows 7 ou 8.1. Existe-t-il une solution pour moi ?
R : Oui, tous les clients Windows 7 et 8.1 doivent exécuter les étapes définies dans la section « 2. Étapes de correction » de l’avis de sécurité Dell DSA-2021-088.

Q : Je ne suis pas certain d’être affecté. Y a-t-il quelque chose que je peux faire pour m’assurer que mon ordinateur n’est pas vulnérable ?
R : Oui, vous devez exécuter les étapes définies dans les sections 2.2 et 2.3 de l’avis de sécurité Dell DSA-2021-088. L’exécution de ces étapes n’aura aucun effet négatif sur votre système, quel que soit l’impact précédent.

Q : Allez-vous déployer l’utilitaire « Dell Security Advisory Update – DSA-2021-088 » via Dell Command Update, Dell Update, Alienware Update ou SupportAssist ?
R : Oui. Reportez-vous à la section 2.2.2 de l’avis de sécurité Dell DSA-2021-088. Toutefois, les clients doivent exécuter les étapes définies à la section « 2. Étapes de correction », si elles s’appliquent à leur environnement.

Q : J’ai exécuté l’utilitaire « Dell Security Advisory Update – DSA-2021-088 » sur mon système pour supprimer le pilote dbutil_2_3.sys, et, après avoir redémarré le système, je vois toujours le pilote dbutil_2_3.sys. Pourquoi ?
R : Dans les cas où :

1. Vous n’avez pas mis à jour tous les produits affectés répertoriés à l’étape 2.2.1 de la section « Mesures correctives » avant de supprimer le pilote dbutil_2_3.sys, ou
2. vous exécutez un utilitaire de mise à jour de firmware affecté après avoir supprimé le pilote,

le pilote dbutil_2_3.sys peut être réintroduit dans votre système.
Pour éviter ou corriger ces situations, assurez-vous d’abord de mettre à jour, si nécessaire, tous les produits affectés répertoriés à l’étape 2.2.1 de l’avis de sécurité Dell DSA-2021-088, puis exécutez l’étape 2.2.2 (même si vous avez précédemment supprimé le pilote dbutil_2_3.sys).

Q : Après avoir appliqué l’une des options de l’étape 2.2.2 de l’avis de sécurité Dell DSA-2021-088, je ne peux pas supprimer le pilote dbutil_2_3.sys. Que dois-je faire ?
R : Dans les cas où :

1. Vous n’avez pas mis à jour tous les produits affectés répertoriés à l’étape 2.2.1 de la section « Mesures correctives » avant de supprimer le pilote dbutil_2_3.sys, ou
2. vous avez exécuté un utilitaire de mise à jour de firmware affecté après avoir supprimé le pilote,

le pilote dbutil_2_3.sys peut être utilisé et verrouillé par le système d’exploitation, ce qui empêche sa suppression.
Pour corriger cette situation, assurez-vous d’abord de mettre à jour, si nécessaire, tous les produits affectés répertoriés à l’étape 2.2.1 de l’avis de sécurité Dell DSA-2021-088, puis exécutez l’étape 2.2.2 (même si vous avez précédemment supprimé le pilote dbutil_2_3.sys).

Q : L’exécution de l’utilitaire « Dell Security Advisory Update – DSA-2021-088 » ou la procédure de suppression manuelle supprimera-t-elle la version corrigée du pilote de mon système ?
R : Non, le pilote corrigé a un nouveau nom de fichier, DBUtilDrv2.sys, pour le distinguer du pilote dbutil_2_3.sys présentant cette faille de sécurité, et il ne sera pas affecté.

Q : L’exécution de l’utilitaire « Dell Security Advisory Update – DSA-2021-088 » va-t-elle installer un pilote corrigé ?
R : Non. La version corrigée du pilote sera installée sur votre système la prochaine fois que vous appliquerez une mise à jour corrigée du firmware du BIOS, de Thunderbolt, du TPM ou de la station d’accueil sur votre système, ou lorsque que vous exécuterez une version corrigée de Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent, Dell Platform Tags, l’utilitaire Dell BIOS Flash ou SupportAssist pour PC (particuliers et professionnels).

Q : Comment obtenir la version corrigée du pilote ?
R : La version corrigée du pilote (DBUtilDrv2.sys) sera installée sur votre système la prochaine fois que vous appliquerez une mise à jour corrigée du firmware du BIOS, de Thunderbolt, du TPM ou de la station d’accueil sur votre système, ou lorsque vous exécuterez une version corrigée de Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent, Dell Platform Tags, l’utilitaire Dell BIOS Flash ou SupportAssist pour PC (particuliers et professionnels).

Q : Est-il possible de supprimer manuellement le pilote dbutil_2_3.sys ?
R : Oui, suivez l’étape 2.2.1 (le cas échéant) et l’étape 2.2.2, option C de l’avis de sécurité Dell DSA-2021-088.

Q : Si je veux supprimer manuellement le pilote dbutil_2_3.sys, comment puis-je savoir que je supprime le bon fichier ?
R : Utilisez les valeurs de somme de contrôle SHA-256 suivantes pour confirmer que vous supprimez le fichier correct :

• dbutil_2_3.sys (sur une version 64 bits de Windows) : 0296E2CE999E67C76352613A718E11516FE1B0EFC3FFDB8918FC999DD76A73A5
• dbutil_2_3.sys (sur une version 32 bits de Windows) : 87E38E7AEAAAA96EFE1A74F59FCA8371DE93544B7AF22862EB0E574CEC49C7C3

Q : La suppression du pilote dbutil_2_3.sys entraîne-t-elle des problèmes d’interopérabilité avec d’autres logiciels ou matériels ?
R : Non, le pilote dbutil_2_3.sys est un pilote utilitaire qui est utilisé dans les packages de mise à jour de firmware, Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent, Dell Platform Tags, l’utilitaire Dell BIOS Flash ou Dell SupportAssist pour PC (particuliers et professionnels) pour mettre à jour les pilotes, le BIOS et le firmware de votre PC. Il n’est pas utilisé par d’autres matériels ou logiciels.
  
Q : Je suis un client Grand Compte, que dois-je faire ?
R : Exécutez les étapes de correction indiquées dans la section « 2. Étapes de correction » de l’avis de sécurité Dell DSA-2021-088. Nous sommes conscients qu’il existe différentes configurations d’infrastructure et différents scénarios présentant des niveaux de complexité variables. Si vous avez des questions ou si vous avez besoin d’aide, contactez votre représentant de service ou de compte Dell.

Les étapes suivantes illustrent une des méthodes de déploiement de l’utilitaire Dell Security Advisory Update – DSA-2021-088, utilisable par les clients Grand Compte dans leur environnement, pour effectuer l’étape 2.2.2 qui permet de supprimer le pilote dbutil_2_3.sys de plusieurs systèmes simultanément.

1. Effectuez la vérification préalable au déploiement suivante.

• Mettez à jour les produits affectés déployés dans votre entreprise. Voir la section « 2. Étapes de correction » de l’avis de sécurité Dell DSA-2021-088 pour mettre à jour Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent, Dell Platform Tags, l’utilitaire Dell BIOS Flash ou SupportAssist pour PC (particuliers et professionnels).

2. Suivez les étapes ci-dessous pour supprimer le pilote dbutil_2_3.sys de votre environnement à l’aide de l’élément de configuration (CI) Microsoft Endpoint Configuration Manager (MECM).

• Configurez le CI pour qu’il exécute un script PowerShell.
  • Certains facteurs tels que la taille ou l’utilisation du disque et le type de disque, peuvent entraîner une analyse de l’ensemble du lecteur de disque et générer des expirations de délais ou des erreurs. Au minimum, les répertoires suivants, où les fichiers sont généralement stockés, doivent être analysés. Si vous choisissez cette méthode, mettez à jour les variables pertinentes, par exemple « %windir%\temp » et « %localappdata%\temp ».
  • Dans le script PowerShell, fournissez les valeurs de somme de contrôle SHA-256 pour vérifier le fichier supprimé, « 0296E2CE999E67C76352613A718E11516FE1B0EFC3FFDB8918FC999DD76A73A5 » et « 87E38E7AEAAAA96EFE1A74F59FCA8371DE93544B7AF22862EB0E574CEC49C7C3 ».

• Une fois le CI créé avec le script PowerShell, une base de configuration est créée et déployée dans la collecte « Tous les systèmes ». Selon votre configuration MECM, vous devrez peut-être séparer le déploiement en fonction de certaines considérations telles que les différents châssis d’ordinateur, les différents modèles, etc.
• Configurez les « collectes » pour consigner la réussite de l’opération. Par exemple, vous pouvez créer une collecte « Conforme » pour les systèmes pour lesquels aucun code d’erreur n’a été renvoyé ou aucun fichier n’a été détecté, et la collecte « Non conforme » pour les systèmes où un code d’erreur a été renvoyé.
• Après avoir exécuté le CI, examinez la collecte non conforme. Vous pouvez y trouver les instances suivantes :
  • Systèmes dont la version des produits affectés est plus ancienne que celle mentionnée ci-dessus
  • Systèmes nécessitant un redémarrage
  • Systèmes sur lesquels le CI n’a pas pu s’exécuter en raison du délai d’expiration
• Définissez la méthode de déploiement sur « Requis » (au lieu de « Disponible ») pour rendre cette méthode obligatoire.
  • L’utilitaire Dell Security Advisory Update – DSA-2021-088 fournit des codes de sortie qui peuvent être utilisés par MEC.

Code de sortie MSI	Description	Code d’erreur
0	L’action a bien été effectuée.	ERROR_SUCCESS
1603	Erreur fatale lors de l’installation.	ERROR_INSTALL_FAILURE
3010	Un redémarrage est nécessaire pour terminer l’installation. Ceci n’inclut pas les installations où l’action ForceReboot est exécutée. Ce code d’erreur n’est pas disponible sur Windows Installer version 1.0.	ERROR_SUCCESS_REBOOT_REQUIRED

Q : En quoi l’utilitaire Dell BIOS Flash affecté est-il différent des utilitaires de mise à jour Dell BIOS affectés ?
R : Les utilitaires de mise à jour du BIOS Dell contiennent une mise à jour du BIOS spécifique à une plate-forme et appliquent également la mise à jour à cette plate-forme. L’utilitaire Dell BIOS Flash n’est utilisé que par les entreprises pour appliquer des mises à jour du BIOS, mais il ne comporte pas de mise à jour spécifique du BIOS. Pour plus d’informations, reportez-vous à l’article de la base de connaissances Utilitaire d’installation du BIOS.

Q : J’utilise une plate-forme prise en charge et je prévois de mettre à jour un pilote, le BIOS ou un firmware sur mon système. Toutefois, il n’y a pas encore de package mis à jour qui contient un pilote dbutil corrigé pour ma plateforme et mon système d’exploitation, ou alors je dois appliquer un package non corrigé. Que dois-je faire ?
R : Après avoir mis à jour le BIOS, le firmware Thunderbolt, le firmware TPM ou le firmware de la station d’accueil à l’aide d’un package de mise à jour de firmware présentant cette faille de sécurité, vous devez exécuter l’étape 2.2 de l’avis de sécurité Dell DSA-2021-088 immédiatement après la mise à jour, afin de supprimer le pilote dbutil_2_3.sys de votre système. Cette action est nécessaire même si vous avez déjà effectué cette étape auparavant.

Q : J’utilise une plate-forme en fin de durée de vie et prévois de mettre à jour un pilote, le BIOS ou un firmware sur mon système ; toutefois, il n’existe pas de package mis à jour qui contient un pilote dbutil corrigé. Que dois-je faire ?
R : Après avoir mis à jour le BIOS, le firmware Thunderbolt, le firmware TPM ou le firmware de la station d’accueil à l’aide d’un package de mise à jour de firmware présentant cette faille de sécurité, vous devez exécuter l’étape 2.2 de l’avis de sécurité Dell DSA-2021-088 immédiatement après la mise à jour, afin de supprimer le pilote dbutil_2_3.sys de votre système. Cette action est nécessaire même si vous avez déjà effectué cette étape auparavant.

Q : Y a-t-il une autre façon de mettre à jour le BIOS sans m’exposer au pilote dbutil_2_3.sys présentant cette faille de sécurité ?
R : Oui, les mises à jour du BIOS peuvent être lancées à l’aide du menu de démarrage accessible avec la touche F12. La plupart des ordinateurs Dell fabriqués après 2012 ont cette fonction ; vous pouvez le confirmer en démarrant l’ordinateur dans le menu de démarrage F12. Si vous voyez « MISE À JOUR FLASH DU BIOS » répertoriée en tant qu’option d’amorçage, cela signifie que l’ordinateur Dell prend en charge cette méthode de mise à jour du BIOS à l’aide du menu de démarrage. Les étapes détaillées sont décrites dans le document de support suivant : Mise à jour du BIOS à partir du menu de démarrage F12.
  
Q : Dell a-t-il connaissance de cas d’exploitation de cette faille de sécurité ?
R : Nous n’avons pas connaissance de cas d’exploitation de cette faille de sécurité par des individus mal intentionnés à ce jour, mais nous sommes conscients que le code d’exploit est maintenant disponible.

Q : Est-ce qu’un individu mal intentionné pourrait exploiter cette faille de sécurité ?
R : Un individu mal intentionné doit d’abord être autorisé à accéder à votre PC, par exemple en cas d’hameçonnage, de programme malveillant ou en obtenant de votre part un accès distant. Afin de vous aider à vous protéger contre les individus mal intentionnés, n’accordez jamais le contrôle à distance de votre ordinateur à un contact non sollicité (par exemple, à partir d’un e-mail ou d’un appel téléphonique) afin de résoudre un problème.
Nous n’avons pas connaissance de cas d’exploitation de cette faille de sécurité par des individus mal intentionnés à ce jour, mais nous sommes conscients que le code d’exploit est maintenant disponible.

Q : Mon système est-il vulnérable en permanence lorsqu’un pilote dbutil_2_3.sys présentant cette faille de sécurité est sur le système ?
R : Non, le pilote dbutil_2_3.sys doit d’abord être chargé dans la mémoire lorsqu’un administrateur exécute l’un des packages d’utilitaires de mise à jour du firmware concernés, Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent, Dell Platform Tags, l’utilitaire l’utilitaire Dell BIOS Flash ou Dell SupportAssist pour PC (particuliers et professionnels). Une fois que le pilote dbutil_2_3.sys est déchargé de la mémoire après le redémarrage ou supprimé de l’ordinateur, la faille de sécurité ne représente plus un problème.

Q : Cette faille de sécurité est-elle exploitable à distance ?
R : Non, la faille de sécurité ne peut pas être exploitée à distance. Un acteur malveillant doit d’abord obtenir l’accès authentifié (local) à votre appareil.

Q : Ce pilote dbutil_2_3.sys est-il préalablement chargé sur mon système ?
R : Non, les ordinateurs Dell ne sont pas livrés avec le pilote dbutil_2_3.sys préinstallé, et ni Dell Command Update, ni Dell Update, ni Alienware Update, ni Dell SupportAssist pour PC (particuliers et professionnels) ne précharge le pilote dbutil_2_3.sys. Le pilote dbutil_2_3.sys est installé et chargé à la demande en lançant le processus de mise à jour de firmware, puis déchargé après le redémarrage du système.
Remarque : une fois le fichier de pilote dbutil_2_3.sys présentant cette faille de sécurité installé, il reste sur le système, même lorsque le pilote est déchargé.

Q : Dell a-t-il corrigé le problème pour tous les nouveaux PC expédiés depuis l’usine ?
R : Oui, sauf pour les systèmes livrés avec Dell Command Update, Dell Update, Alienware Update ou Dell SupportAssist pour PC (particuliers et professionnels). Ces systèmes seront automatiquement mis à jour lors de la première exécution de Dell Command Update, Dell Update, Alienware Update et Dell SupportAssist pour PC (particuliers et professionnels). Pour plus d’informations, reportez-vous à l’étape 2 de la section « Mesure corrective » du bulletin de sécurité Dell DSA-2021-088.

Q : Est-ce une faille de sécurité qui affecte uniquement Dell ?
R : Oui, cette faille de sécurité affecte le pilote spécifique à Dell (dbutil_2_3.sys).

Q : Les données sur mon PC Dell ont-elles été compromises à cause de la faille de sécurité signalée ?
R : Non. Pour que cela arrive, un individu mal intentionné doit être autorisé à accéder à votre ordinateur, par exemple en cas d’hameçonnage, de logiciel malveillant ou d’accès distant accordé à quelqu’un qui l’a demandé.
À ce jour, nous n’avons pas connaissance de cas d’exploitation de cette faille de sécurité par des individus mal intentionnés, mais nous sommes conscients que le code d’exploit est maintenant disponible.
Rappel pour vous aider à vous protéger contre les individus mal intentionnés :

• N’accordez jamais le contrôle à distance de votre ordinateur à un contact non sollicité (par exemple, à partir d’un e-mail ou d’un appel téléphonique) afin de résoudre un problème si vous n’avez pas contacté Dell en premier lieu pour un service ou du support.
• Dell ne contactera pas les clients de façon spontanée par téléphone pour demander l’accès au PC en relation avec cette faille de sécurité.
• Si vous n’avez pas contacté Dell pour un service ou du support, n’accordez pas l’accès à votre PC et ne fournissez pas des données personnelles à l’appelant non sollicité. Si vous n’êtes pas sûr de la provenance de l’appel que vous recevez, raccrochez et contactez immédiatement le support Dell. 

Q : Que puis-je faire pour protéger mes données ?
R : Comme pour toute utilisation d’un appareil, restez toujours vigilant et utilisez ces conseils pour protéger vos données :

• Soyez prudent lorsque vous cliquez sur des liens ou des pièces jointes dans des e-mails non sollicités, ou que vous êtes incité à les ouvrir sous prétexte qu’il existe un problème avec l’un de vos comptes, des commandes ou d’autres transactions, vous demandant de cliquer sur un lien pour vous aider à résoudre le problème. Il peut s’agir d’un individu mal intentionné qui tente d’accéder à votre appareil.
• N’accordez jamais le contrôle à distance de votre ordinateur à un contact non sollicité afin de résoudre un problème, même s’il déclare représenter Dell ou un autre prestataire de services pour le compte Dell. Si vous n’avez pas contacté Dell vous-même pour demander à être rappelé, Dell ne vous appellera pas de façon spontanée pour demander un accès distant.
• Ne donnez jamais vos informations financières à des contacts non sollicités qui essaient de vous faire payer pour réparer votre ordinateur.
• Ne payez jamais pour du support Dell ou tout autre service de support technique au moyen d’une carte cadeau quelconque ou par virement bancaire. Dell ne recourra jamais à ces modes de paiement.