DSA-2021-106: Säkerhetsuppdateringar för Dell-klient-plattformar för flera säkerhetsproblem i funktionerna BIOSConnect och HTTPS-start som en del av Dell-klient-BIOS

Tillverkarspecifik kod CVEs	Beskrivning	CVSS-baspoäng	CVSS-vektorsträng
CVE-2021-21571	Dell UEFI BIOS https-stack som används av funktionerna Dell BIOSConnect och Dell HTTPS-start innehåller ett säkerhetsproblem med felaktig validering av certifikat. En fjärransluten icke-autentiserad angripare kan utnyttja problemet med hjälp av en man-i-mitten-attack som kan leda till överbelastning eller manipulering av nyttolast.	5.9	CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572, CVE-2021-21573, CVE-2021-21574	Funktionen Dell BIOSConnect är sårbar för buffertspill. En autentiserad skadlig administratörsanvändare med lokal åtkomst till systemet kan eventuellt utnyttja den här sårbarheten för att köra godtycklig kod och förbigå UEFI-begränsningar.	7.2	CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

Beskrivning av funktionerna Dell BIOSConnect och HTTPS-start:

• Funktionen Dell BIOSConnect är en prebootlösning från Dell som används för att uppdatera system-BIOS och återställa operativsystemet (OS) med hjälp av SupportAssist OS Recovery på Dell-klientplattformar. Obs! BIOSConnect kräver en fysiskt närvarande användare för att initiera den här funktionen. Endast en delmängd av plattformar med funktionen BIOSConnect. Se tabellen under avsnittet Ytterligare information nedan för att se vilka plattformar som påverkas.
• Funktionen Dell HTTPS-start är ett tillägg till UEFI HTTP-startspecifikationerna för att starta från en HTTP(S)-server. Obs! Den här funktionen är inte konfigurerad som standard och kräver en fysiskt närvarande användare med lokala OS-administrativa rättigheter som kan konfigurera. Dessutom måste det finnas en fysiskt närvarande användare för att initiera funktionen när den används med ett trådlöst nätverk. Alla plattformar innehåller inte HTTPS-startfunktionen. Se tabellen under avsnittet Ytterligare information nedan för att se vilka plattformar som påverkas.

Ovanstående sårbarheter rapporterades som en sårbarhetskedja. Ackumulerade poäng för den sårbara kedjan är: 8,3 Hög CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Det krävs ytterligare steg för att utnyttja kedjan:

• För att kunna utnyttja den sårbara kedjan i BIOSConnect måste en skadlig aktör utföra ytterligare åtgärder innan kedjan kan utnyttjas, bland annat: kompromettera en användares nätverk, skaffa ett certifikat som är betrott av en av Dell UEFI BIOS https-stackens inbyggda certifikatutfärdare och vänta på att en användare som är fysiskt närvarande finns i systemet för att kunna använda funktionen BIOSConnect.
• För att kunna utnyttja sårbarheten i HTTPS-start måste en skadlig aktör utföra ytterligare åtgärder innan kedjan kan utnyttjas, bland annat: kompromettera en användares nätverk, skaffa ett certifikat som är betrott av en av Dell UEFI BIOS https-stackens inbyggda certifikatutfärdare och vänta på att en användare som är fysiskt närvarande finns i systemet för att ändra startordningen och använda funktionen HTTPS-start.

Utöver att använda åtgärderna nedan kan kunderna dessutom skydda sig genom att följa säkerhetspraxis och endast använda säkra nätverk för att förhindra otillåten lokal och fysisk åtkomst till enheter. Kunderna bör även aktivera plattformens säkerhetsfunktioner som säker start (aktiverad som standard för Dell-plattformar med Windows) och BIOS-adminlösenordet för utökat skydd.

Obs! Om säker start är inaktiverat kan det påverka den potentiella allvarlighetsgrad som är förknippad med säkerhetsproblemet CVE-2021-21571.

CVE-2021-21573 och CVE-2021-21574 åtgärdades i BIOSConnect-relaterade komponenter på Dell-serverdelen den 28 maj 2021 och kräver ingen ytterligare kundåtgärd.

CVE-2021-21571 och CVE-2021-21572 kräver uppdatering av Dell-klient-BIOS för att problemen ska kunna åtgärdas. I tabellen under avsnittet Ytterligare information kan du ta reda på vilken version av det åtgärdade Dell-klient-BIOS som du ska använda för ditt system. Det finns flera sätt för att uppdatera Dell-klient-BIOS. Om du vanligtvis använder BIOSConnect för att uppdatera BIOS rekommenderar Dell att du använder en annan metod för att tillämpa BIOS-uppdateringarna, t. ex.:

• En av Dells aviseringslösningar om du vill få meddelanden och hämta BIOS-uppdateringar automatiskt när de blir tillgängliga.
• Gå till webbplatsen Drivrutiner och hämtningsbara filer där det finns uppdateringar för de aktuella produkterna. Mer information finns i artikeln Dell BIOS-uppdateringar i Dells kunskapsbank där du även kan ladda ned uppdateringen till din Dell-dator.
• Flashuppdatera BIOS från F12-menyn för engångsstart.

För de som inte kan installera BIOS-uppdateringarna omedelbart har Dell även en provisorisk åtgärd för att inaktivera funktionerna för BIOSConnect och HTTPS-start. Se avsnittet nedan.