Dell-työasematuotteiden valtuuttamattomat BIOS-salasanan palautustyökalut

DSA-viite: DSA-2020-119: Dell-työasematuotteiden valtuuttamattoman BIOS-salasanan palautustyökalun haavoittuvuus (englanninkielinen)

Tiedot: 

Tietyt Dellin kaupalliseen käyttöön ja kuluttajille suunnatut työasemaympäristöt tukevat salasanan nollausta, jonka tarkoituksena on auttaa salasanansa unohtaneita valtuutettuja asiakkaita. Dell on tietoinen salasananluontityökaluista, joilla voidaan luoda BIOS-palautussalasanoja. Fyysisesti paikalla oleva hyökkääjä voi käyttää työkaluja, joita Dell ei ole valtuuttanut, BIOS-salasanojen ja BIOSin hallitsemien kiintolevyjen salasanojen nollaamiseen. Todentamaton hyökkääjä, jolla on fyysinen pääsy järjestelmään, voi mahdollisesti hyödyntää haavoittuvuutta BIOS-määrityksen, kiintolevyn käyttöoikeuden ja BIOSin käynnistystä edeltävän todennuksen suojausrajoitusten ohittamiseen.

Ratkaisu: 

Dell tarjoaa useita lievennyskeinoja ja rajoituksia luvattomaan salasanojen nollaukseen kaupallisissa ympäristöissä. Suosittelemme, että asiakkaat noudattavat suositeltuja turvallisuuskäytäntöjä ja estävät luvattoman fyysisen pääsyn laitteiden luokse. Asiakkaat voivat myös halutessaan ottaa käyttöön pääsalasanan lukitusominaisuuden BIOSin asetuksista (saatavilla kaupallisissa ympäristöissä – kaikki alustat, joissa on Insyde BIOS maaliskuusta 2024 alkaen ja kaikilla muilla alustoilla vuodesta 2011 alkaen) järjestelmänvalvojan, järjestelmän ja kiintolevyn salasanojen suojaamiseksi on suojattu nollaukselta.

Katso lisätietoja Dellin tietoturvatiedotteesta: DSA-2020-119: Dell-työasematuotteiden valtuuttamattoman BIOS-salasanan palautustyökalun haavoittuvuus (englanninkielinen)

Myös muuta BIOSiin liittyvää sisältöä, josta voi olla hyötyä:

• Dell-tuki kadonneen BIOS-salasanan tapauksessa
• Dell Command PowerShell Provider - BIOSin salasanatoiminto
• BIOS-salasanan palauttaminen tai tyhjentäminen
• Yleisiä tietoja kiintolevyn ja BIOSin salasanoista
• Kun BIOSin oletusasetukset palautetaan, ne eivät ehkä vastaa tehtaalla määritettyjä BIOS-asetuksia

Usein kysyttyjä kysymyksiä:    

K: Mitä malleja ongelma koskee?

V: Se koskee useimpia Dellin kaupallisia työasemajärjestelmiä ja tiettyjä kuluttajajärjestelmiä. Se koskee kaikkia ympäristöjä, jotka näyttävät seuraavat tunnisteet BIOSin käynnistystä edeltävän salasanan syöttämisen yhteydessä (Dell Security Manager):

• <PALVELUTUNNISTE tai HDD SN-D35B>
• <PALVELUTUNNISTE tai HDD SN-1F5A>
• <PALVELUTUNNISTE tai HDD SN-595B>
• <PALVELUTUNNISTE tai HDD SN2A7B>
• <PALVELUTUNNISTE tai HDD SN-1D3B>
• <PALVELUTUNNISTE tai HDD SN-1F66>
• <PALVELUTUNNISTE tai HDD SN-6FF1>
• <PALVELUTUNNISTE tai HDD SN-BF97>
• <PALVELUTUNNISTE tai HDD SN-E7A8>

B: Insyde BIOS -alustat - Voit tarkistaa, perustuuko alustasi Insyde BIOSiin,

1. Käynnistä tietokone.
2. Paina F2-näppäintä Dell-logonäytössä useita kertoja, kunnes BIOS-asennus tai Järjestelmän asennus avautuu.
3. Voit myös painaa F12-näppäintä useita kertoja, kunnes näet kertakäynnistysvalikon. Valitse sitten BIOS-asennus tai Järjestelmän asennus valikosta.
4. Insyde BIOS -alustan asennussivun yläosassa näkyy teksti InsydeH2O Setup Utility.

K: Miten voin suojata alustani salasanan luvattomalta nollaukselta?

V: Asiakkaat voivat käyttää ympäristön suojaamiseen useita lievennyskeinoja ja suositeltuja käytäntöjä.

• Master Password Lockout. Se voidaan ottaa käyttöön BIOS-määrityksestä. Kun se otetaan käyttöön, järjestelmänvalvojan, järjestelmän ja kiintolevyn salasanat suojataan niin, ettei niitä voi nollata palautussalasanalla. (Saatavilla kaupallisilla alustoilla – kaikilla alustoilla, joissa on Insyde BIOS maaliskuusta 2024 alkaen ja kaikille muille alustoille vuodesta 2011 alkaen)  
• Käyttäjän on oltava fyysisesti läsnä, jotta palautussalasanaa voi käyttää. Tämän vuoksi ympäristön fyysinen suojaus on aina varmistettava.

Varoitus: Jos Pääsalasanan lukitus on valittuna ja asiakas unohtaa salasanan, Dell ei voi auttaa salasanojen palauttamisessa. Ympäristöä ei voi palauttaa ja emolevy tai kiintolevy on vaihdettava.

K: Voiko tätä työkalua käyttää salasanan vaihtamiseen etänä?

V: Ei, käyttäjän on oltava fyysisesti läsnä, jotta palautussalasanaa voi käyttää. Tämän vuoksi ympäristön fyysinen suojaus on aina varmistettava.

K: Miten voin selvittää, käytettiinkö tätä työkalua alustallani?

V: Palautussalasanan käyttö voidaan havaita, koska sen käyttö johtaa asianmukaisten BIOS-salasanojen poistamiseen (järjestelmänvalvoja/järjestelmä tai BIOSin hallitsema kiintolevy).

K: Salliiko palautussalasanan käyttö pääsyn kiintolevylläni oleviin tietoihin?

V: Kun kiintolevyn salasana määritetään, kiintolevyn tyhjennys voidaan pakottaa käytettäessä kiintolevyn palautussalasanaa. Jos tämä vaihtoehto valitaan kiintolevyn salasanan määrittämisen yhteydessä, kiintolevy tyhjennetään, mikäli kiintolevyn palautussalasanaa käytetään.  Tietojen käyttö ei ole tällöin mahdollista. Jos kyseistä vaihtoehtoa ei valita, kiintolevyn tiedot säilyvät. Jos kiintolevy sen sijaan on salattu (esimerkiksi BitLockerilla), levy on nähtävissä mutta sen tietoja ei voi lukea.

K: Salliiko palautussalasanan käyttö pääsyn käyttöjärjestelmään?

V: Palautussalasanan käyttö ei mahdollista käyttöjärjestelmän tunnistetietojen ohittamista.

K: Vaikuttaako tämä itsesalaaviin asemiin, jotka käyttävät ulkoista SED-hallintasovellusta aseman salasanojen määrittämiseen?

V:  Työkalu ei vaikuta itsesalaaviin asemiin, jotka on valmisteltu ja joita hallitaan ulkoisilla SED-hallintasovelluksilla. Palautustyökalu vaikuttaa vain BIOS-määrityksessä hallittaviin BIOS-salasanoihin.

K: Vaarantaako tämä työkalu BIOS-laiteohjelmiston eheyden ja alustan luottamuksen?

V: Palautussalasanan käyttö ei vaaranna BIOS-laiteohjelmiston eheyttä. BIOS-laiteohjelmisto on suojattu NIST 800-147 -allekirjoituksen varmennuksella ja muilla ominaisuuksilla, kuten Intel BootGuardilla, Intel BIOSGuardilla ja piirisarjan laiteohjelmiston kirjoitussuojauksella. Työkalun käyttö voi mahdollistaa pääsyn BIOS-määritysliittymään, jonka kautta voi muuttaa ympäristön suojausasetuksia, kuten suojatun käynnistyksen käyttöönottoa ja TPM-asetuksia.  

Suositellut artikkelit

Seuraavassa on joitakin aiheeseen liittyviä suositeltuja artikkeleita, jotka saattavat kiinnostavat sinua.

• Dellin tuki kadonneelle BIOS-salasanalle
• Dell Command PowerShell Providerin BIOS-salasanatoiminto (englanninkielinen)
• BIOS-salasanan nollaaminen tai tyhjentäminen
• Yleisiä tietoja kiintolevyn ja BIOSin salasanoista
• Kun BIOSin oletusasetukset palautetaan, ne eivät ehkä vastaa tehtaalla määritettyjä BIOS-asetuksia