常见问题:
问:如何知道是否会受到影响?
答:如果符合以下情况,您可能会受到影响:
- 已对系统应用 BIOS、Thunderbolt、TPM 或坞站固件更新;或
- 当前或之前使用 Dell Command Update、Dell Update、Alienware Update、Dell System Inventory Agent、Dell Platform Tags、Dell BIOS Flash 实用程序或适用于家用和商用 PC 的 Dell SupportAssist
或者,如果您按照戴尔安全公告
DSA-2021-088 步骤 2.2.2 中的选项 A 所述手动运行实用程序,该实用程序将指示是否已在系统上找到并修正受影响的
dbutil_2_3.sys 驱动程序。要查看具有受影响固件更新实用程序包和软件工具的平台的列表,或了解有关此漏洞及其缓解方法的更多信息,请参阅戴尔安全公告
DSA-2021-088。
问:我正在使用 Linux 的操作系统。此问题会影响我吗?
答:不会,只有在受影响的戴尔平台上运行 Windows 操作系统时,此漏洞才会影响用户。
问:有什么解决方法?如何修正此漏洞?
答:所有客户都应执行戴尔安全公告
DSA-2021-088“2. 修正步骤”中定义的步骤。
问:为什么戴尔安全公告 DSA-2021-088“2. 修正步骤”中有多个步骤
答:步骤 2.1 和 2.2 用于立即修正此漏洞。步骤 2.3 重点介绍如何在下一次安排的固件更新期间获取修正的驱动程序 (DBUtilDrv2.sys)。对于每个步骤,戴尔均提供不同的选项,您应该选择最适合自身情况的选项。
问:我从未更新过固件,也没有用过 Dell Command Update、Dell Update、Alienware Update、Dell System Inventory Agent、Dell Platform Tags、Dell BIOS Flash 实用程序或适用于家用和商用 PC 的 Dell SupportAssist;我仅通过 Windows 更新来获得 BIOS 更新。我会受到影响吗?
答:不会,Windows Update 不会安装受影响的
dbutil_2_3.sys 驱动程序。
问:我有 Windows 7 或 8.1。是否有适合我的解决方案?
答:是的,所有 Windows 7 和 8.1 客户都应执行戴尔安全公告
DSA-2021-088“2. 修正步骤”中定义的步骤。
问:我不确定是否受到影响。我能做些什么来确保我的计算机不易受到攻击?
答:您应执行戴尔安全公告
DSA-2021-088 2.2 和 2.3 部分中定义的步骤。执行这些步骤不会对您的系统造成负面影响,无论之前的影响为何。
问:是否会通过 Dell Command Update、Dell Update、Alienware UpdateA 或 SupportAssist 推送“戴尔安全公告更新 — DSA-2021-088”实用程序?
答:可以。请参阅戴尔安全公告
DSA-2021-088 的 2.2.2 部分。但是,客户应根据自己的环境执行“2. 修正步骤”中定义的所有步骤。
问:我在系统上运行了“戴尔安全公告更新 — DSA-2021-088”实用程序以删除 dbutil_2_3.sys 驱动程序,在重新启动系统后,我仍看到 dbutil_2_3.sys 驱动程序。这是为什么?
答:如果:
- 在删除 dbutil_2_3.sys 驱动程序之前没有更新“修正”部分步骤 2.2.1 中列出的所有受影响产品,或者
- 在删除驱动程序后运行受影响的固件更新实用程序,
可能会在系统中重新引入
dbutil_2_3.sys 驱动程序。
要避免或修正这些情况:首先确保您根据具体情况更新了戴尔安全公告
DSA-2021-088 的步骤 2.2.1 中列出的所有受影响产品,然后执行步骤 2.2.2(即使您之前已删除
dbutil_2_3.sys 驱动程序)。
问:在应用戴尔安全公告 DSA-2021-088 的步骤 2.2.2 中的一个选项后,我无法删除 dbutil_2_3.sys 驱动程序,应该怎么办?
答:如果:
- 在删除 dbutil_2_3.sys 驱动程序之前没有更新“修正”部分步骤 2.2.1 中列出的所有受影响产品,或者
- 在删除驱动程序后运行受影响的固件更新实用程序,
操作系统可能正在使用或锁定了
dbutil_2_3.sys 驱动程序,导致无法删除。
要修正这一情况:首先确保您根据具体情况更新了戴尔安全公告
DSA-2021-088 的步骤 2.2.1 中列出的所有受影响产品,然后执行步骤 2.2.2(即使您之前已删除
dbutil_2_3.sys 驱动程序)。
问:运行“戴尔安全公告更新 — DSA-2021-088”实用程序或执行手动删除步骤是否会从系统中删除修正版本的驱动程序?
答:不会,修正的驱动程序的新文件名
DBUtilDrv2.sys 可将其与易受攻击的
dbutil_2_3.sys 驱动程序区分开来,因此不会受到影响。
问:运行“戴尔安全公告更新 — DSA-2021-088”实用程序是否会安装修正的驱动程序?
答:不会。修正版本的驱动程序将在您下一次向系统应用修正的 BIOS、Thunderbolt、TPM 或坞站固件,或运行修正版本的 Dell Command Update、Dell Update、Alienware Update、Dell System Inventory Agent、Dell Platform Tags、Dell BIOS Flash 实用程序或适用于家用和商用 PC 的 SupportAssist 时安装到系统中。
问:我将如何获得修正版本的驱动程序?
答:修正版本的驱动程序 (
DBUtilDrv2.sys) 将在您下一次向系统应用修正的 BIOS、Thunderbolt、TPM 或坞站固件,或运行修正版本的 Dell Command Update、Dell Update、Alienware Update、Dell System Inventory Agent、Dell Platform Tags、Dell BIOS Flash 实用程序或适用于家用和商用 PC 的 SupportAssist 时安装到系统中。
问:可以手动删除 dbutil_2_3.sys 驱动程序吗?
答:可以,请按照戴尔安全公告
DSA-2021-088 步骤 2.2.1(根据具体情况)和步骤 2.2.2 的选项 C 进行操作。
问:如果想要手动删除 dbutil_2_3.sys 驱动程序,那么如何知道我正在删除正确的文件?
答:使用下列 SHA-256 校验和值,以确认您删除正确的文件:
- dbutil_2_3.sys(用于 64 位版本的 Windows 上):0296E2CE999E67C76352613A718E11516FE1B0EFC3FFDB8918FC999DD76A73A5
- dbutil_2_3.sys(用于 32 位版本的 Windows 上):87E38E7AEAAAA96EFE1A74F59FCA8371DE93544B7AF22862EB0E574CEC49C7C3
问:删除 dbutil_2_3.sys 驱动程序是否会引起与其他硬件或软件的互操作性问题?
答:不会,
dbutil_2_3.sys 驱动程序是一个实用程序驱动程序,在固件更新实用程序包(Dell Command Update、Dell Update、Alienware Update、Dell System Inventory Agent、Dell Platform Tags、Dell BIOS Flash 实用程序或适用于家用和商用 PC 的 Dell SupportAssist)中用于更新 PC 的驱动程序、BIOS 和固件。其他硬件或软件并不使用它。
问:我是企业客户,该怎么办?
答:执行戴尔安全公告
DSA-2021-088“2. 修正步骤”中列出的修正步骤
。我们很明白,目前存在不同的基础架构配置和场景,其复杂程度各不相同。如果您有任何疑问或需要帮助,请联系您的戴尔客户代表和/或服务代表。
以下步骤说明了企业客户在其环境中部署
戴尔安全公告更新 — DSA-2021-088 实用程序以完成步骤 2.2.2,从而从多个系统中删除
dbutil_2_3.sys 驱动程序的一种方式。
- 执行以下部署前检查。
- 更新部署在您的企业中的受影响产品。请参阅戴尔安全公告 DSA-2021-088“2. 修正步骤”部分,更新 Dell Command Update、Dell Update、Alienware Update、Dell System Inventory Agent、Dell Platform Tags、Dell BIOS Flash 实用程序或适用于家用和商用 PC 的 SupportAssist。
注:此部署前步骤可防止在戴尔安全公告更新 — DSA-2021-088 实用程序运行期间锁定 dbutil_2_3.sys 文件或在该实用程序运行后重新引入该文件。
- 请按照以下步骤,使用 Microsoft Endpoint Configuration Manager (MECM) Configuration Item (CI) 从您的环境中删除 dbutil_2_3.sys 驱动程序。
- 设置 CI 以执行 PowerShell 脚本。
- 磁盘大小/利用率、磁盘类型等因素可能会导致扫描整个磁盘驱动器,从而导致超时或错误。应至少扫描通常存储文件的以下目录。如果选择此路径,请更新相关变量,例如“%windir%\temp”和“%localappdata%\temp”。
- 在 PowerShell 脚本中,提供 SHA-256 校验和值以验证要删除的文件,“0296E2CE999E67C76352613A718E11516FE1B0EFC3FFDB8918FC999DD76A73A5”和“87E38E7AEAAAA96EFE1A74F59FCA8371DE93544B7AF22862EB0E574CEC49C7C3”。
- 使用 PowerShell 脚本创建 CI 后,一个配置基准将被创建并部署到“所有系统”集合中。根据您的 MECM 配置,您可能需要根据不同的计算机机箱、型号等考虑事项来分隔部署。
- 设置“集合”以记录成功的完成。例如,您可以为未返回错误代码或未检测到文件的系统创建“合规”集合,并为返回错误代码的系统创建“不合规”集合。
- 在运行 CI 后,请查看不合规集合。您可能会发现以下实例:
- 具有上述受影响产品的更早版本的系统
- 需要重新启动的系统
- 由于超时而未能执行 CI 的系统
- 选择“必需”(而不是“可用”)部署方法使其成为必需项。
MSI 退出代码 |
描述 |
错误代码 |
0 |
操作已成功完成。 |
ERROR_SUCCESS |
1603 |
安装过程中出现致命错误。 |
ERROR_INSTALL_FAILURE |
3010 |
需要重新启动才能完成安装。这不包括运行 ForceReboot 操作的安装。Windows Installer 版本 1.0 中没有此错误代码。 |
ERROR_SUCCESS_REBOOT_REQUIRED |
问:受影响的 Dell BIOS Flash 实用程序与受影响的 Dell BIOS 更新实用程序有何不同?
答:Dell BIOS 更新实用程序包含平台的具体 BIOS 更新,并且会将更新应用到平台。Dell BIOS Flash 实用程序仅供企业用于应用 BIOS 更新,但不包含具体的 BIOS 更新。有关详细信息,请参阅
BIOS 安装实用程序知识库文章。
问:我使用的是受支持的平台,并计划在我的系统上更新驱动程序、BIOS 或固件。但是,要么没有其中包含针对平台和操作系统组合修复的 dbutil 驱动程序的更新后的程序包,要么我需要应用未修复的程序包。我应该怎么做?
答:在使用易受攻击的固件更新软件包更新 BIOS、Thunderbolt 固件、TPM 固件或坞站固件后,您必须在更新后立即执行戴尔安全公告
DSA-2021-088 的步骤 2.2,以便从系统中删除
dbutil_2_3.sys 驱动程序。即使以前执行过此步骤,现在也必须执行此操作。
问:我使用的是服务终止的平台,并计划在系统上更新驱动程序、BIOS 或固件;但是,目前没有其中包含已修复的 dbutil 驱动程序的更新后的程序包。我应该怎么做?
答:在使用易受攻击的固件更新软件包更新 BIOS、Thunderbolt 固件、TPM 固件或坞站固件后,您必须在更新后立即执行戴尔安全公告
DSA-2021-088 的步骤 2.2,以便从系统中删除
dbutil_2_3.sys 驱动程序。即使以前执行过此步骤,现在也必须执行此操作。
问:是否有另一种方法来更新 BIOS,而无需让自己暴露于易受攻击的 dbutil_2_3.sys 驱动程序?
答:有的,可使用 F12 一次性启动菜单来启动 BIOS 更新。2012 年之后制造的大多数戴尔计算机均具有此功能,您可以通过将计算机启动至 F12 一次性启动菜单来进行确认。如果您看到“BIOS FLASH UPDATE”列示为启动选项,则戴尔计算机支持这种使用一次性启动菜单来更新 BIOS 的方法。此支持文档概述了详细步骤:
通过 F12 一次性启动菜单刷新 BIOS。
问:据戴尔所知,此漏洞是否被利用?
答:虽然漏洞代码可以被使用,但据我们所知,目前此漏洞尚未被恶意行为者利用。
问:恶意行为者是否能够利用此漏洞?
答:恶意行为者首先需要获得 PC 访问权限,例如通过网络钓鱼、恶意软件或由您授予远程访问权限。为保护自己免受恶意行为者的攻击,切勿同意将计算机远程控制权限提供给任何不请自来的联系人(例如,通过电子邮件或电话等方式)来解决问题。
据我们所知,目前此漏洞尚未被恶意行为者利用,但是我们知道漏洞代码可以使用。
问:当系统上有易受攻击的 dbutil_2_3.sys 驱动程序时,我的系统是否总是处于危险之中?
答:否。当管理员运行某一个受影响的固件更新实用程序包(Dell Command Update、Dell Update、Alienware Update、Dell System Inventory Agent、Dell Platform Tags、Dell BIOS Flash 实用程序或适用于家用和商用 PC 的 Dell SupportAssist)时,
dbutil_2_3 sys 驱动程序必须首先加载到内存中。一旦
dbutil_2_3.sys 驱动程序在计算机重新启动后从内存中卸载或从计算机中删除,该漏洞就不再是一个问题。
问:此漏洞可以远程利用吗?
答:不能,此漏洞无法远程利用。恶意行为者首先必须获得(本地)经过身份验证的访问权限才能访问您的设备。
问:此 dbutil_2_3.sys 驱动程序是否已预先加载在我的系统上?
答:没有,戴尔计算机发货时没有预装
dbutil_2_3.sys 驱动程序,Dell Command Update、Dell Update、Alienware Update 或适用于家用和商用 PC 的 Dell SupportAssist 也没有预先加载
dbutil_2_3.sys 驱动程序。该
dbutil_2_3.sys 驱动程序通过启动固件更新进程按需安装和加载,然后在系统重新启动后卸载。
注:一旦安装易受攻击的
dbutil_2_3.sys 驱动程序文件,即使您将该驱动程序卸载,它仍会保留在系统上。
问:戴尔是否对所有出厂的新 PC 都进行这方面的修复?
答:是的,随附 Dell Command Update、Dell Update、Alienware Update 或适用于家用和商用 PC 的 Dell SupportAssist 的系统除外。这些系统将在首次运行 Dell Command Update、Dell Update、Alienware Update 和适用于家用和商用 PC 的 Dell SupportAssist 时自动更新。有关详细信息,请参阅戴尔安全公告
DSA-2021-088 的“Remediation”部分中的步骤 2。
问:这是戴尔独有的漏洞吗?
答:是的,此特定漏洞影响特定于戴尔的驱动程序 (
dbutil_2_3.sys)
问:我的戴尔 PC 上的数据是否由于报告的漏洞而被泄露?
答:没有。恶意行为者需要被授予对您计算机的访问权限(例如,通过网络钓鱼、恶意软件或请求者的远程访问),您才会受到此漏洞影响。
虽然漏洞代码可以被使用,但据我们所知,目前此漏洞尚未被恶意行为者利用。
为保护自己免受恶意行为者的攻击:
- 如果您未先联系戴尔以获得服务或支持,则永远不要同意将计算机的远程控制权限交给任何不请自来的联系人(例如,通过电子邮件或电话等方式)来解决问题。
- 戴尔不会通过电话意外联系客户,请求与这个已报告漏洞相关的 PC 访问。
- 如果您尚未联系戴尔寻求服务或支持,请不要提供对 PC 的访问权限,也不要向不请自来的呼叫者提供任何个人数据。如果您不确定所接到的电话,请挂断并立即联系戴尔支持人员。
问:我还可以采取哪些措施来帮助保护数据?
答:与使用任何设备一样,请始终保持警惕,并利用以下顶级技巧来帮助保护您的数据:
- 在您未预料到的电子邮件中单击链接或附件时,请务必小心,否则可能会通过指示您的任何帐户、订单或其他交易存在问题,试图欺骗您打开链接或附件,并进一步诱使您单击某个提供来帮助解决问题的链接。这可能是恶意行为者试图获得对您设备的访问权限。
- 永远不要将计算机的远程控制权限交给任何不请自来的呼叫者以解决问题,即使他们表示自己是从戴尔公司或另一个代表戴尔的服务提供商打电话给您,情况也是如此。如果您没有首先联系戴尔以请求电话呼叫,戴尔不会拨打意想不到的电话来请求远程访问。
- 永远不要将您的财务信息透露给任何试图向您收取费用来修复计算机的不请自来的联系人。
- 永远不要使用任何类型的礼品卡或电汇来支付戴尔或任何其他技术支持服务的费用。戴尔绝不会要求您采用这些付款方式。