DSA-2021-106: Dell-työasemaympäristön tietoturvapäivitys useille Dell-työaseman BIOSin BIOSConnect- ja HTTPS Boot -ominaisuuksien tietoturvaongelmille

Oman koodin CVEs	Kuvaus	CVSS-peruspisteet	CVSS-vektorin merkkijono
CVE-2021-21571	Dell UEFI BIOSin https-pino, jota Dell BIOSConnect- ja Dell HTTPS Boot -ominaisuudet käyttävät, sisältää virheelliseen varmenteen vahvistukseen liittyvän tietoturvaongelman. Todentamaton etähyökkääjä voi hyödyntää tätä tietoturvaongelmaa käyttämällä mies välissä -hyökkäystä, joka voi aiheuttaa palveluneston ja hyötykuorman muuttamisen.	5.9	CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572, CVE-2021-21573, CVE-2021-21574	Dell BIOSConnect -ominaisuus sisältää puskurin ylivuotoon liittyvän tietoturvaongelman. Todennettu haitallinen järjestelmänvalvojakäyttäjä, jolla on paikallinen pääsy järjestelmään, voi mahdollisesti hyödyntää tätä tietoturvaongelmaa suorittamalla sattumanvaraista koodia ja ohittamalla UEFI-rajoituksia.	7.2	CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

Dell BIOSConnect- ja HTTPS Boot -ominaisuuksien kuvaus:

• Dell BIOSConnect -ominaisuus on Dellin käynnistystä edeltävä ratkaisu, jolla päivitetään BIOS ja palautetaan käyttöjärjestelmä käyttämällä SupportAssist OS Recovery -toimintoa Dell-työasemaympäristöissä. Huomautus: BIOSConnect-ominaisuuden käyttäminen edellyttää fyysisesti paikalla olevaa käyttäjää. Ongelma vaikuttaa vain pieneen ympäristöjen alijoukkoon, jossa on BIOSConnect-ominaisuus. Tarkista Lisätietoja-kohdan taulukosta ympäristöt, joita ongelma koskee.
• Dell HTTPS Boot -ominaisuus on UEFI HTTP Boot -tietojen laajennus, jolla voi käynnistää HTTP(S)-palvelimesta. Huomautus: Tätä ominaisuutta ei ole oletusarvoisesti määritetty, ja sen määrittäminen edellyttää fyysisesti paikalla olevaa käyttäjää, jolla on järjestelmänvalvojan oikeudet paikalliseen käyttöjärjestelmään. Lisäksi ominaisuuden käyttäminen edellyttää fyysisesti paikalla olevaa käyttäjää, kun sitä käytetään langattomissa verkoissa. Kaikki ympäristöt eivät sisällä HTTPS Boot -ominaisuutta. Tarkista Lisätietoja-kohdan taulukosta luettelo ympäristöistä, joita ongelma koskee.

Edellä mainitut tietoturvaongelmat on ilmoitettu tietoturvaongelmaketjuna. Tietoturvaongelmaketjun kokonaispisteet ovat: 8.3 Korkea CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Ketjun hyödyntäminen edellyttää lisätoimia:

• Jotta haitallinen toimija voi hyödyntää BIOSConnect-ominaisuuden tietoturvaongelmaketjua, hänen on tehtävä lisävaiheita erikseen, jotta hyödyntäminen onnistuu, esimerkiksi: vaarantaa käyttäjän verkko, hankkia varmenne, johon jokin Dell UEFI BIOSin https-pinon varmenteiden myöntäjä luottaa, ja odottaa, että fyysisesti paikalla oleva käyttäjä käyttää BIOSConnect-ominaisuutta.
• Jotta haitallinen toimija voi hyödyntää HTTPS Boot -ominaisuuden tietoturvaongelmaketjua, hänen on tehtävä lisävaiheita erikseen, jotta hyödyntäminen onnistuu, esimerkiksi: vaarantaa käyttäjän verkko, hankkia varmenne, johon jokin Dell UEFI BIOSin https-pinon varmenteiden myöntäjä luottaa, ja odottaa, että fyysisesti paikalla oleva käyttäjä muuttaa käynnistysjärjestystä ja käyttää HTTPS Boot -ominaisuutta.

Asiakkaat voivat parantaa suojaustaan ensiksikin tekemällä alla mainitut korjaustoimet ja lisäksi toimimalla parhaiden suojauskäytäntöjen mukaisesti eli käyttää vain suojattuja verkkoja ja estämällä luvattoman paikallisen ja fyysisen pääsyn laitteisiin. Lisäksi asiakkaiden kannattaa ottaa käyttöön suojausominaisuuksia, kuten suojatun käynnistyksen (oletusarvoisesti käytössä Dell-ympäristöissä, joissa on Windows) ja BIOSin järjestelmänvalvojan salasanan.

Huomautus: Jos suojattu käynnistys ei ole käytössä, se saattaa vaikuttaa CVE-2021-21571-tietoturvaongelman vakavuuteen.

CVE-2021-21573 ja CVE-2021-21574 korjattiin Dellin taustapalvelinten BIOSConnet-komponenteissa 28.5.2021, ja ne eivät edellytä enempää asiakkaan toimia.

CVE-2021-21571 ja CVE-2021-21572 edellyttävät Dell-työaseman BIOS-päivityksiä tietoturvaongelmien korjaamiseksi. Katso Lisätietoja-kohdan taulukosta, minkä korjatun Dell-työaseman BIOS-version asentaa järjestelmääsi. Dell-työaseman BIOSin voi päivittää usealla tavalla. Jos päivität BIOSin yleensä BIOSConnectin kautta, Dell suosittelee muuta tapaa BIOS-päivitysten ottamiseksi käyttöön, esimerkiksi:

• Käyttämällä jotakin Dellin ilmoitusratkaisua saat ilmoituksen ja voit ladata BIOS- ja laiteohjelmistopäivitykset automaattisesti, kun niitä on saatavilla.
• Hae tuotteiden päivitykset vastaavasta Ohjaimet ja ladattavat tiedostot -sivustosta. Lue lisätietoja Dellin tietämyskannan artikkelista Dellin BIOS-päivitykset ja lataa päivitys Dell-tietokoneeseesi.
• BIOSin päivittäminen F12-näppäimellä kerran näytettävästä käynnistysvalikosta.

Jos BIOS-päivityksiä ei voi asentaa heti, Dell on toimittanut tilapäisen korjaustavan, jolla voi poistaa BIOSConnect- ja HTTPS Boot -ominaisuudet käytöstä. Katso alla olevaa osaa.