DSA-reference: DSA-2020-119: Dell-klientprodukter, sårbarhed ved uautoriserede nulstillingsværktøjer til BIOS-adgangskoder
Udvalgte Dell-klientplatforme til kommerciel brug og forbruger understøtter en funktion til nulstilling af adgangskoder, der er designet til at hjælpe autoriserede kunder, som glemmer deres adgangskoder. Dell kender til værktøjer til oprettelse af adgangskoder, der kan generere BIOS-genoprettelsesadgangskoder. Værktøjerne, som ikke er godkendt af Dell, kan bruges af en fysisk tilstedeværende hacker til at nulstille BIOS-adgangskoder og BIOS-administrerede (harddisk) HDD-adgangskoder. En uautoriseret hacker med fysisk adgang til systemet kan potentielt udnytte denne sårbarhed til at omgå sikkerhedsforanstaltninger for BIOS-opsætningskonfiguration, HDD-adgang og BIOS-pre-boot-godkendelse.
Dell giver adskillige begrænsninger og restriktioner til brugen af uautoriserede nulstillingsadgangskoder på kommercielle platforme. Vi anbefaler, at kunder følger bedste fremgangsmåder og forhindrer uautoriseret fysisk adgang til enheder. Kunderne kan også vælge at aktivere masteradgangskodens spærringsfunktion fra BIOS-opsætningen (tilgængelig på platforme fra 2011) for at beskytte administrator-, system- og HDD-adgangskoder mod at blive nulstillet.
Se Dells sikkerhedsmeddelelse for at få flere oplysninger: https://www.dell.com/support/kbdoc/000180741
Sp.: Hvilke modeller er berørt?
Sv.: Det påvirker de fleste kommercielle Dell-klientsystemer og udvalgte forbrugersystemer. Enhver platform, der viser følgende id'er på forespørgsler om BIOS Preboot-adgangskoder (Dell Security Manager)
Sp.: Hvordan kan jeg beskytte min platform mod en uautoriseret nulstilling af adgangskode?
Sv.: Der er adskillige afhjælpninger og bedst fremgangsmåder, som kunderne bør følge for at beskytte deres platforme.
Advarsel: Hvis Master Password Lockout-indstillingen er valgt, og kunden efterfølgende glemmer adgangskoden, vil Dell ikke være i stand til at hjælpe med at gendanne adgangskoderne. Platformen kan ikke gendannes, og bundkortet eller harddisken skal udskiftes.
Sp.: Kan dette værktøj bruges eksternt til at nulstille mine adgangskoder?
Sv.: Nej, en bruger skal være fysisk til stede på systemet for at bruge gendannelsesadgangskoden. Det betyder, at der altid skal være fysiske beskyttelse af platformen.
Sp.: Hvordan kan jeg afgøre, om dette værktøj blev brugt på min platform?
Sv.: Brug af gendannelsesadgangskoden kan registreres, da dens brug medfører fjernelse af de relevante BIOS -adgangskoder (administrator/system eller BIOS-administreret harddisk).
Sp.: Tillader brugen af gendannelsesadgangskoden adgang til data på min harddisk?
Sv.: Når HDD-adgangskoden indstilles, vises en indstilling for at gennemtvinge en harddiskformatering, hvis HDD-gendannelsesadgangskoden anvendes. Hvis denne indstilling blev valgt, da HDD-adgangskoden blev indstillet, formateres harddisk ved brug af HDD-gendannelsesadgangskoden. Så der er ikke tilladt noget data. Hvis denne indstilling ikke er valgt, bevares dataene på harddisken. Hvis der imidlertid bruges harddiskkryptering (f.eks. BitLocker), er dataene tilgængelige, men oplysningerne på drevet er beskyttet mod at blive vist.
Sp.: Tillader brugen af genoprettelsesadgangskoden adgang til operativsystemet?
Sv.: Brug af genoprettelsesadgangskoden giver ikke tilladelse til, at OS-legitimationsoplysningerne springes over.
Sp.: Påvirker dette selvkrypterende drev, der bruger et eksternt SED Management-program til at indstille adgangskoder på mit drev?
Sv.: Dette værktøj påvirker ikke selvkrypterende drev, der er klargjort og administreret af eksterne SED-administrationsprogrammer. Nulstilværktøjet påvirker kun BIOS-adgangskoder, der administreres af BIOS-opsætningen.
Sp.: Kompromitterer dette værktøj integriteten af min BIOS-firmware og tillidsroden for min platform?
Sv.: Brugen af genoprettelsesadgangskoden kompromitterer ikke integriteten af BIOS-firmwaren. BIOS-firmware er beskyttet af NIST 800-147-beskyttelse med digital signatur samt yderligere funktioner som f.eks. Intel BootGuard, Intel BIOSGuard og beskyttelse til chipset-firmware. Brug af værktøjet kan give adgang til BIOS-opsætningsbrugerfladen, som gør det muligt at ændre platformens sikkerhedsindstillinger, f.eks. Secure Boot Enable og TPM-indstillinger.
Her er nogle anbefalede artikler relateret til dette emne, der kan have din interesse.