Nieautoryzowane narzędzia do resetowania hasła systemu BIOS w produktach klienckich firmy Dell

Numer referencyjny DSA: DSA-2020-119: Luka w zabezpieczeniach związana z nieautoryzowanym narzędziem do resetowania hasła systemu BIOS w produktach klienckich firmy Dell

Szczegóły: 

Niektóre platformy komercyjne i konsumenckie klientów Dell obsługują funkcję resetowania hasła, przeznaczoną do pomocy autoryzowanym klientom, którzy zapomnieli hasła. Dell wie o narzędziach do generowania haseł, które mogą generować hasła odzyskiwania systemu BIOS. Narzędzia, których nie są autoryzowane przez firmę Dell, mogą zostać wykorzystane przez osobę atakującą do zresetowania haseł systemu BIOS i haseł dysków twardych, które są zarządzane przez system BIOS. Nieuwierzytelniona osoba atakująca, która ma fizyczny dostęp do systemu, może potencjalnie wykorzystać tę lukę, aby ominąć zabezpieczenia konfiguracji systemu BIOS, dostępu do dysku twardego i uwierzytelniania przed uruchomieniem systemu BIOS.

Rozwiązanie: 

Dell oferuje kilka sposobów łagodzenia skutków i ograniczeń użycia nieautoryzowanego resetowania haseł resetowania na platformach komercyjnych. Zalecamy stosowanie najlepszych praktyk w zakresie bezpieczeństwa i zapobieganie nieautoryzowanemu dostępowi fizycznym do urządzeń. Klienci mogą również włączyć funkcję blokady hasła głównego z poziomu konfiguracji systemu BIOS (dostępną na platformach komercyjnych – wszystkie platformy z wydaniem systemu Insyde BIOS od marca 2024 r. i na wszystkich innych platformach od 2011 r.) w celu ochrony haseł administratora, systemu i dysku twardego przed zresetowaniem.

Więcej informacji można znaleźć w poradniku zabezpieczeń firmy Dell: DSA-2020-119: Luka w zabezpieczeniach związana z nieautoryzowanym narzędziem do resetowania hasła systemu BIOS w produktach klienckich firmy Dell

Najczęściej zadawane pytania:    

Pytanie: Których modeli dotyczy problem?

Odpowiedź: Dotyczy to większości systemów komercyjnych klienta i systemów konsumenckich Dell. Dowolna platforma wyświetlająca następujące identyfikatory w monitach o hasło przed uruchomieniem systemu BIOS (Dell Security Manager)

• <KOD SERVICE TAG lub NUMER SERYJNY DYSKU TWARDEGO>-D35B
• <KOD SERVICE TAG lub NUMER SERYJNY DYSKU TWARDEGO>-1F5A
• <KOD SERVICE TAG lub NUMER SERYJNY DYSKU TWARDEGO>-595B
• <KOD SERVICE TAG lub NUMER SERYJNY DYSKU TWARDEGO>-2A7B
• <KOD SERVICE TAG lub NUMER SERYJNY DYSKU TWARDEGO>-1D3B
• <KOD SERVICE TAG lub NUMER SERYJNY DYSKU TWARDEGO>-1F66
• <KOD SERVICE TAG lub NUMER SERYJNY DYSKU TWARDEGO>-6FF1
• <KOD SERVICE TAG lub NUMER SERYJNY DYSKU TWARDEGO>-BF97
• <KOD SERVICE TAG lub NUMER SERYJNY DYSKU TWARDEGO>-E7A8

B: Platformy Insyde BIOS – Aby sprawdzić, czy Twoja platforma jest oparta na Insyde BIOS,

1. Włącz komputer.
2. Gdy zostanie wyświetlone logo firmy Dell, naciśnij kilkakrotnie klawisz F2, aby przejść do systemu BIOS lub konfiguracji systemu.
3. Możesz też nacisnąć kilka razy klawisz F12, aż wyświetli się menu jednorazowego rozruchu, a następnie wybrać z menu opcję konfiguracji BIOS lub konfiguracji systemu.
4. Platforma Insyde BIOS wyświetla "InsydeH2O Setup Utility" w górnej części strony konfiguracji.

Pytanie: Jak mogę zabezpieczyć moją platformę przed nieautoryzowanym zresetowaniem hasła?

Odpowiedź: Istnieje kilka metod ograniczania tego problemu i najlepszych praktyk, które klienci powinni zastosować w celu ochrony swoich platform.

• Blokada hasła głównego. Można ją włączyć z poziomu konfiguracji systemu BIOS. Po włączeniu hasła administratora, systemu i dysku twardego będą zabezpieczone przed zresetowaniem za pomocą hasła odzyskiwania. (Dostępne na platformach komercyjnych – wszystkie platformy z wydaniem Insyde BIOS od marca 2024 r. i na wszystkich innych platformach od 2011 r.)  
• Użytkownik musi być fizycznie obecny przy komputerze, aby można było użyć hasła odzyskiwania. Z tego powodu fizyczna ochrona platformy powinna być zawsze stosowana.

Ostrzeżenie: Jeżeli wybrano opcję blokady hasła głównego, a klient zapomni hasła, firma Dell nie będzie mogła pomóc w odzyskaniu haseł. Nie będzie możliwe odzyskanie platformy, przez co będzie trzeba wymienić płytę główną lub dysk twardy.

Pytanie: Czy to narzędzie może być używane zdalnie do resetowania haseł?

Odpowiedź: Nie, użytkownik musi być fizycznie obecny przy komputerze, aby można było użyć hasła odzyskiwania. Z tego powodu fizyczna ochrona platformy powinna być zawsze stosowana.

Pytanie: Jak mogę sprawdzić, czy to narzędzie zostało użyte na mojej platformie?

Odpowiedź: Użycie hasła odzyskiwania może zostać wykryte, ponieważ powoduje usunięcie odpowiednich haseł systemu BIOS (administratora/systemu lub dysków twardych zarządzanych przez system BIOS).

Pytanie: Czy użycie hasła odzyskiwania umożliwia dostęp do danych na moim dysku twardym?

Odpowiedź: Po ustawieniu hasła dysku twardego pojawia się opcja wymuszenia wymazania dysku twardego w przypadku użycia hasła odzyskiwania dysku twardego. Jeśli ta opcja została wybrana i ustawiono hasło dysku twardego, dysk twardy zostanie wymazany po użyciu hasła odzyskiwania dysku twardego.  Z tego powodu nie można uzyskać dostępu do danych. Jeśli nie wybrano tej opcji, dane na dysku twardym są zachowywane. Jeśli jednak korzysta się z szyfrowania dysku twardego (na przykład BitLocker), dostęp do danych jest możliwy, ale informacje znajdujące się na tym dysku są chronione przed ujawnieniem.

Pytanie: Czy użycie hasła odzyskiwania umożliwia dostęp do systemu operacyjnego?

Odpowiedź: Użycie hasła odzyskiwania nie zezwala na pominięcie poświadczeń systemu operacyjnego.

Pytanie: Czy ta funkcja ma wpływ na wszystkie dyski szyfrujące, które wykorzystują zewnętrzną aplikację do zarządzania SED, aby ustawić hasła na dysku?

Odpowiedź:  To narzędzie nie wpływa na dyski samoszyfrujące, które zostały zainicjowane i są zarządzane przez zewnętrzne aplikacje do zarządzania SED. Narzędzie resetowania wpływa wyłącznie na hasła systemu BIOS zarządzane przez konfigurację systemu BIOS.

Pytanie: Czy to narzędzie naraża integralność wbudowanego oprogramowania sprzętowego systemu BIOS i zaufanie do mojej platformy?

Odpowiedź: Użycie hasła odzyskiwania nie osłabia integralności oprogramowania sprzętowego systemu BIOS. Oprogramowanie wewnętrzne BIOS jest chronione przez zabezpieczenia weryfikacji podpisów NIST 800-147, a także dodatkowe funkcje, takie jak Intel BootGuard, Intel BIOSGuard i zabezpieczenia przed zapisem oprogramowania wewnętrznego chipsetu. Za pomocą tego narzędzia można uzyskać dostęp do interfejsu konfiguracji systemu BIOS, co mogłoby umożliwić zmianę ustawień zabezpieczeń platformy, np. ustawienia Secure Boot Enable i TPM.  

Polecane artykuły

Poniżej przedstawiono niektóre polecane artykuły dotyczące tego tematu, które mogą Cię zainteresować.

• Pomoc techniczna firmy Dell dotycząca utraty hasła systemu BIOS
• Funkcja Hasło systemu BIOS modułu Dell Command PowerShell Provider
• Resetowanie lub usuwanie hasła systemu BIOS
• Informacje ogólne hasłach dysku twardego i systemu BIOS
• Przywrócenie domyślnej konfiguracji systemu BIOS w systemie może być niezgodne ze skonfigurowanymi fabrycznie ustawieniami systemu BIOS