Uautoriserte nullstillingsverktøy for BIOS-passord til Dell-klientprodukter

DSA-referanse: DSA-2020-119: Sikkerhetsproblem med ikke-godkjent nullstillingsverktøy for BIOS-passord til Dell-klientprodukter

Detaljer: 

Visse Dell Client Commercial and Consumer-plattformer støtter en funksjon for tilbakestilling av passord som er laget for å hjelpe autoriserte kunder som glemmer passordene. Dell er oppmerksom på et passordgenereringsverktøy som kan generere passord for BIOS-gjenoppretting. Verktøyene, som ikke er autorisert av Dell, kan brukes av en angriper som er fysisk til stede, for å tilbakestille BIOS-passord og BIOS-administrerte harddiskpassord. En ikke-godkjent angriper med fysisk tilgang til systemet kan potensielt utnytte dette sikkerhetsproblemet til å omgå sikkerhetsrestriksjoner for oppsett av BIOS, HDD-tilgang og BIOS-godkjenning før oppstart.

Løsning: 

Dell har flere skadebegrensingstiltak og begrensinger for bruk av uautoriserte passord for tilbakestilling på kommersielle plattformer. Vi anbefaler at kundene følger beste praksis for sikkerhet og forhindrer uautorisert fysisk tilgang til enheter. Kunder kan også velge å aktivere funksjonen utlåsing av hovedpassord fra BIOS-oppsett (tilgjengelig på plattformer fra 2011) for å beskytte administrator-, system- og HDD-passord som er beskyttet mot tilbakestilling.

Se Dells sikkerhetsveiledning hvis du vil ha mer informasjon: https://www.dell.com/support/kbdoc/000180741

Vanlige spørsmål:    

Spm.: Hvilke modeller er berørt?

Sv: Dette påvirker de fleste systemer for kommersielle Dell-klienter og noen forbrukersystemer. Alle plattformer som viser følgende ID-er i spørsmål om BIOS-forhåndsoppstart-passord (Dell Security Manager)

• <SERVICE-ID eller HDD SN-D35B>
• <SERVICE-ID eller HDD SN-1F5A>
• <SERVICE-ID eller HDD SN-595B>
• <SERVICE-ID eller HDD SN-2A7B>
• <SERVICE-ID eller HDD SN-1D3B>
• <SERVICE-ID eller HDD SN-1F66>
• <SERVICE-ID eller HDD SN-6FF1>
• <SERVICE-ID eller HDD SN-BF97>

Spm.: Hvordan kan jeg beskytte plattformen mot en uautorisert tilbakestilling av passord?

Sv: Det er flere løsninger og beste praksiser kundene bør følge for å beskytte plattformene sine.

• Låsing av hovedpassord. Dette kan aktiveres fra BIOS-oppsettet. Når det er aktivert, er administrator-, system-og HDD-passordene beskyttet mot tilbakestilling ved hjelp av gjenopprettingspassord. (Tilgjengelig på systemer produsert i 2011 eller senere)
• En bruker må være fysisk til stede på systemet for at gjenopprettingspassordet skal kunne brukes. Derfor må man alltid sørge for fysisk beskyttelse av plattformen.

Advarsel: Hvis alternativet for låsing av hovedpassord er valgt, og kunden glemmer passordet, vil Dell ikke være i stand til å hjelpe til med å gjenopprette passordet. Det vil si at plattformen ikke kan gjenopprettes, og hovedkortet eller harddisken må skiftes ut.

Spm.: Kan dette verktøyet brukes eksternt til å tilbakestille passordene mine?

Sv: Nei, en bruker må være fysisk til stede på systemet for å kunne bruke gjenopprettingspassordet. Derfor må man alltid sørge for fysisk beskyttelse av plattformen.

Spm.: Hvordan kan jeg finne ut om dette verktøyet ble brukt på plattformen min?

Sv: Bruk av gjenopprettingspassordet kan oppdages, ettersom det fører til at det tar ut gjeldende BIOS-passord (admin/system eller BIOS-administrert HDD).

Spm.: Gir bruken av gjenopprettingspassordet tilgang til dataene på harddisken min?

Sv: Når du angir HDD-passordet, blir et alternativ presentert for å tvinge en HDD-sletting hvis passordet for harddiskgjenoppretting blir brukt. Hvis dette alternativet ble valgt da HDD-passordet ble angitt, slettes harddisken ved bruk av passordet for harddiskgjenoppretting.  Det er derfor ikke tillatt med datatilgang. Hvis dette alternativet ikke er valgt, beholdes dataene på harddisken. Hvis det brukes harddiskkryptering (for eksempel BitLocker), er dataene tilgjengelige, men informasjonen på stasjonen er beskyttet mot deling.

Spm.: Gir bruken av gjenopprettingspassordet tilgang til operativsystemet?

Sv: Bruken av gjenopprettingspassordet tillater ikke omgåelse av operativsystemets legitimasjonskrav.

Spm.: Påvirker dette harddisker med egenkryptering som bruker en ekstern SED-administrasjonsapplikasjon til å angi passord på disken min?

Sv:  Dette verktøyet har ikke innvirkning på selvkrypterende stasjoner som er klargjort og styrt av et eksternt SED-administrasjonsprogram. Nullstillingsverktøyet har bare innvirkning på BIOS-passord som er administrert av BIOS-oppsettet.

Spm.: Kompromitterte dette verktøyet integriteten til BIOS-fastvaren og plattformroten min?

Sv: Bruken av gjenopprettingspassordet svekker ikke integriteten til BIOS-fastvaren. BIOS-fastvare er beskyttet av NIST 800-147 verifiseringsbeskyttelse med signatur og tilleggsfunksjoner som Intel BootGuard, Intel BIOSGuard og Chipset-beskyttelse av skriverens fastvare. Bruk av verktøyet kan tillate tilgang til BIOS setup-grensesnittet, som tillater at du endrer sikkerhetsinnstillingene for plattformen, for eksempel Secure Boot Enable og TPM-innstillinger.  

Anbefalte artikler

Her er noen anbefalte artikler relatert til dette emnet som kan være av interesse for deg.

• Dell-støtte for tapt BIOS-passord
• BIOS-passordfunksjon for Dell Command PowerShell Provider
• Slik tilbakestiller eller sletter du BIOS-passordet
• Generell informasjon om harddisk- og BIOS-passord
• Når du tilbakestiller BIOS til standardkonfigurasjonene på et system, er det mulig at BIOS-innstillingene som er konfigurert fra fabrikken, ikke samsvarer med disse