Инструменты неавторизованного сброса пароля BIOS на клиентских устройствах Dell

Ссылка DSA: DSA-2020-119. Уязвимость, связанная с инструментами неавторизованного сброса пароля BIOS на клиентских устройствах Dell

Описание 

Некоторые коммерческие и потребительские клиентские платформы Dell поддерживают функцию сброса пароля, которая предназначена для помощи авторизованным пользователям, забывшим пароли. Корпорация Dell знает о средствах создания паролей, которые могут генерировать пароли для восстановления BIOS. Инструменты, не авторизованные корпорацией Dell, могут использоваться физически присутствующим злоумышленником для сброса паролей BIOS и паролей жестких дисков, управляемых BIOS. Злоумышленник, не прошедший проверку подлинности и имеющий физический доступ к системе, может воспользоваться этой уязвимостью, чтобы обойти ограничения безопасности для конфигурации программы настройки BIOS, доступа к жесткому диску и проверки подлинности перед загрузкой в BIOS.

Решение. 

Корпорация Dell предоставляет несколько способов снижения рисков и ограничений, связанных с неавторизованным сбросом паролей на коммерческих платформах. Мы рекомендуем заказчикам следовать передовым практикам безопасности и предотвращать несанкционированный физический доступ к устройствам. Пользователи также могут включить функцию блокировки главным паролем в программе настройки BIOS (доступна на коммерческих платформах — все платформы с версией BIOS Insyde, начиная с марта 2024 года, и для всех других платформ, начиная с 2011 года) для защиты паролей администратора, системы, и жесткого диска от сброса.

Дополнительные сведения см. в рекомендациях по безопасности Dell: DSA-2020-119. Уязвимость, связанная с инструментами неавторизованного сброса пароля BIOS на клиентских устройствах Dell

Часто задаваемые вопросы    

В. Какие модели подвержены этой уязвимости?

О. Это относится к большинству коммерческих клиентских систем Dell и некоторым потребительским системам. Любая платформа, которая отображает следующие идентификаторы в запросах пароля в предзагрузочной среде BIOS (Dell Security Manager)

• <SERVICE TAG or HDD SN>-D35B
• <SERVICE TAG or HDD SN>-1F5A
• <SERVICE TAG or HDD SN>-595B
• <SERVICE TAG or HDD SN>-2A7B
• <SERVICE TAG or HDD SN>-1D3B
• <SERVICE TAG or HDD SN>-1F66
• <SERVICE TAG or HDD SN>-6FF1
• <SERVICE TAG or HDD SN>-BF97
• <SERVICE TAG or HDD SN>-E7A8

B: Платформы BIOS Insyde — чтобы проверить, использует ли ваша платформа на BIOS Insyde, выполните следующие действия.

1. Включите компьютер.
2. На экране с логотипом Dell нажмите клавишу F2 несколько раз для доступа к BIOS или программе настройки системы.
3. Или несколько раз нажмите клавишу F12, пока не появится меню однократной загрузки, а затем выберите в меню пункт «BIOS Setup» или «System Setup».
4. В верхней части страницы настройки на платформе BIOS Insyde отображается надпись «InsydeH2O Setup Utility».

В. Как защитить платформу от несанкционированного сброса пароля?

О. Существует несколько способов снижения рисков и передовых практик, которые заказчикам следует применять для защиты своих платформ.

• Блокировка главным паролем. Эту функцию можно включить в программе настройки BIOS. После включения пароли администратора, системы и жесткого диска защищены от сброса с помощью пароля восстановления. (Доступно на коммерческих платформах — все платформы с версией BIOS Insyde, начиная с марта 2024 года, и для всех других платформ, начиная с 2011 года.)  
• Пользователь должен физически присутствовать рядом с системой для использования пароля восстановления. Таким образом, необходимо всегда применять физическую защиту платформы.

Предупреждение. Если выбран параметр Блокировка главным паролем, а затем заказчик забыл пароль, корпорация Dell не сможет помочь в восстановлении паролей. Платформа будет невосстановимой, и необходимо будет заменить системную плату или жесткий диск.

В. Можно ли использовать этот инструмент удаленно для сброса паролей?

О. Нет, для использования пароля восстановления пользователь должен физически присутствовать рядом с системой. Таким образом, необходимо всегда применять физическую защиту платформы.

В. Как определить, использовался ли этот инструмент на моей платформе?

О. Использование пароля восстановления может быть обнаружено, так как его использование приводит к удалению соответствующих паролей BIOS (администратора/системы или управляемого BIOS жесткого диска).

В. Позволяет ли использование пароля восстановления получить доступ к данным на моем жестком диске?

О. При установке пароля для жесткого диска отображается опция принудительной очистки жесткого диска, если использован пароль для восстановления жесткого диска. Если этот параметр был выбран при установке пароля для жесткого диска, жесткий диск будет очищен при использовании пароля для восстановления жесткого диска.  Таким образом, доступ к данным запрещен. Если этот параметр не выбран, данные на жестком диске будут сохранены. Однако если используется шифрование жесткого диска (например, BitLocker), данные доступны, но информация на диске защищена от раскрытия.

В. Позволяет ли использование пароля восстановления получить доступ к операционной системе?

О. Использование пароля восстановления не позволяет обойти ввод учетных данных ОС.

В. Влияет ли это на самошифруемые диски, которые используют внешнее приложение управления самошифруемыми дисками для установки паролей?

О.  Этот инструмент не влияет на самошифрующиеся диски, которые выделяются и управляются внешними приложениями управления самошифрующимися дисками. Инструмент сброса влияет только на пароли BIOS, управляемые программой настройки BIOS.

В. Влияет ли это средство на целостность микропрограммы BIOS и на корень доверия моей платформы?

О. Использование пароля восстановления не влияет на целостность микропрограммы BIOS. Для микропрограммы BIOS применяется защита проверки подписи NIST 800-147, а также дополнительные функции, такие как Intel BootGuard, Intel BIOSGuard и защита от записи микропрограммы набора микросхем. С помощью этого инструмента можно получить доступ к интерфейсу настройки BIOS, который позволит изменять настройки безопасности платформы, такие как включение Secure Boot и настройки TPM.  

Рекомендованные статьи

Ниже приведены некоторые рекомендованные статьи по этой теме, которые могут вас заинтересовать.

• Поддержка Dell при утере пароля BIOS
• Функция паролей BIOS в Dell Command PowerShell Provider
• Как сбросить или очистить пароль BIOS
• Общие сведения о пароле жесткого диска и BIOS
• Сброс настроек BIOS до настроек по умолчанию в системе может не соответствовать настройкам BIOS, заданным на заводе-изготовителе