Dell Client-Produkte, Tools zum nicht autorisierten Zurücksetzen des BIOS-Kennworts

DSA-Referenz: DSA-2020-119: Dell Client-Produkte, Sicherheitslücke durch Tools zum nicht autorisierten Zurücksetzen des BIOS-Kennworts

Details: 

Bestimmte Dell Client-Plattformen für gewerbliche Nutzer und Plattformen für Privatanwender bieten eine Funktion zum Zurücksetzen von Kennwörtern, die autorisierte Kunden unterstützt, die ihre Kennwörter vergessen haben. Dell hat Kenntnis von Tools zur Kennworterstellung, die BIOS-Recovery-Kennwörter erzeugen können. Die Tools, die nicht von Dell autorisiert sind, können von einem physisch anwesenden Angreifer verwendet werden, um BIOS-Kennwörter und die BIOS-verwalteten HDD-Kennwörter (Festplatte) zurückzusetzen. Ein nicht authentifizierter Angreifer mit physischem Zugriff auf das System könnte diese Sicherheitslücke potenziell ausnutzen, um die Sicherheitsvorkehrungen für die BIOS-Setup-Konfiguration, den HDD-Zugriff und die BIOS-Preboot-Authentifizierung zu umgehen.

Lösung: 

Dell bietet verschiedene Maßnahmen und Einschränkungen für die Verwendung nicht autorisierter Rücksetzkennwörter auf kommerziellen Plattformen. Wir empfehlen Kunden, Best Practices für die Sicherheit zu befolgen und unbefugten physischen Zugriff auf Geräte zu verhindern. KundInnen können auch die Funktion zum Sperren des Master-Kennworts über das BIOS-Setup aktivieren (verfügbar auf kommerziellen Plattformen – alle Plattformen mit Insyde-BIOS-Version ab März 2024 und für alle anderen Plattformen seit 2011), um Admin-, System- und HDD-Passwörter vor dem Zurücksetzen zu schützen.

Weitere Informationen finden Sie im Sicherheitsratgeber von Dell: DSA-2020-119: Dell Client-Produkte, Sicherheitslücke durch Tools zum nicht autorisierten Zurücksetzen des BIOS-Kennworts

Häufig gestellte Fragen (FAQs):    

F: Welche Modelle sind betroffen?

A: Dies betrifft die meisten Dell Client-Systeme für gewerbliche Anwender und bestimmte Systeme für Privatanwender. Alle Plattformen, auf denen die folgenden Kennungen in der BIOS-Preboot-Kennwort-Eingabeaufforderung angezeigt werden (Dell Security Manager)

• <SERVICE-AG oder HDD-SN>-D35B
• <SERVICE-AG oder HDD-SN>-1F5A
• <SERVICE-AG oder HDD-SN>-595B
• <SERVICE-AG oder HDD-SN>-2A7B
• <SERVICE-AG oder HDD-SN>-1D3B
• <SERVICE-AG oder HDD-SN>-1F66
• <SERVICE-AG oder HDD-SN>-6FF1
• <SERVICE-AG oder HDD-SN>-BF97
• <SERVICE-AG oder HDD-SN>-E7A8

B: Insyde BIOS-Plattformen – um zu überprüfen, ob Ihre Plattform auf Insyde BIOS basiert,

1. Schalten Sie den Computer ein.
2. Wenn Sie den Bildschirm mit dem Dell Logo sehen, drücken Sie mehrere Male die Taste F2, um auf das BIOS oder System-Setup zuzugreifen.
3. Alternativ können Sie auch mehrmals die Taste F12 drücken, bis das Einmalige Startmenü angezeigt wird, und dann BIOS-Setup oder System-Setup aus dem Menü auswählen.
4. Die Insyde BIOS-Plattform zeigt „InsydeH2O Setup Utility“ oben auf der Setup-Seite an.

F: Wie kann ich meine Plattform vor einem nicht autorisierten Zurücksetzen des Kennworts schützen?

A: Es gibt mehrere Maßnahmen und Best Practices, die Kunden zum Schutz ihrer Plattformen befolgen sollten.

• Master-Kennwortsperrung. Diese kann über das BIOS-Setup aktiviert werden. Nach der Aktivierung sind die Administrator-, System- und HDD-Kennwörter vor dem Zurücksetzen über das Recovery-Kennwort geschützt. (Verfügbar auf kommerziellen Plattformen – alle Plattformen mit Insyde BIOS-Version ab März 2024 und für alle anderen Plattformen seit 2011)  
• Ein Nutzer muss physisch am System anwesend sein, um das Recovery-Kennwort verwenden zu können. Der physische Schutz der Plattform sollte also immer praktiziert werden.

Warnung: Wenn die Option für die Master-Kennwortsperrung ausgewählt ist und der Kunde das Kennwort später vergisst, kann Dell keine Unterstützung bei der Kennwortwiederherstellung bieten. Die Plattform kann nicht wiederhergestellt werden und die Hauptplatine oder Festplatte muss ausgetauscht werden.

F: Kann dieses Tool für den Remote-Zugriff verwendet werden, um meine Kennwörter zurückzusetzen?

A: Nein, ein Nutzer muss am System physisch anwesendsein, um das Recovery-Kennwort verwenden zu können. Der physische Schutz der Plattform sollte also immer praktiziert werden.

F: Wie kann ich feststellen, ob dieses Tool auf meiner Plattform verwendet wurde?

A: Die Verwendung des Recovery-Kennworts kann festgestellt werden, da dies dazu führt, dass die jeweiligen BIOS-Kennwörter (Administrator/System oder BIOS-verwaltete HDD) entfernt werden.

F: Ermöglicht die Verwendung des Recovery-Kennworts den Zugriff auf die Daten auf meiner Festplatte?

A: Bei der Einrichtung des HDD-Kennworts wird eine Option angezeigt, um eine HDD-Löschung zu erzwingen, wenn das HDD-Recovery-Kennwort verwendet wird. Wenn diese Option ausgewählt wurde, als das HDD-Kennwort festgelegt wurde, wird die Festplatte bei Verwendung des HDD-Recovery-Kennworts gelöscht.  Es ist also kein Datenzugriff möglich. Wenn diese Option nicht ausgewählt ist, werden die Daten auf der HDD beibehalten. Wenn jedoch HDD-Verschlüsselung verwendet wird (z. B. BitLocker), sind die Daten zwar zugänglich, aber die Informationen auf dem Laufwerk sind vor der Offenlegung geschützt.

F: Ermöglicht die Verwendung des Recovery-Kennworts den Zugriff auf das Betriebssystem?

A: Die Verwendung des Recovery-Kennworts erlaubt keine Umgehung der Betriebssystem-Zugangsdaten.

F: Betrifft dies selbstverschlüsselnde Festplatten, die eine externe SED-Managementanwendung verwenden, um Kennwörter auf meinem Laufwerk festzulegen?

A:  Dieses Tool hat keine Auswirkungen auf selbstverschlüsselnde Festplatten, die von einer externen SED-Managementanwendung bereitgestellt und verwaltet werden. Das Tool zum Zurücksetzen betrifft nur BIOS-Kennwörter, die vom BIOS-Setup verwaltet werden.

F: Gefährdet dieses Tool die Integrität der BIOS-Firmware und der Root of Trust meiner Plattform?

A: Die Verwendung des Recovery-Kennworts beeinträchtigt nicht die Integrität der BIOS-Firmware. Die BIOS-Firmware wird durch den NIST 800-147-Signaturverifizierungsschutz sowie zusätzliche Funktionen wie z. B. Intel BootGuard, Intel BIOSGuard und den Chipsatz-Firmware-Schreibschutz geschützt. Durch die Verwendung des Tools kann der Zugriff auf die BIOS-Setup-Oberfläche ermöglicht werden, wodurch die Sicherheitseinstellungen der Plattform, wie z. B. Sicherer Start und die TPM-Einstellungen, geändert werden können.  

Empfohlene Artikel

Hier sind einige empfohlene Artikel zu diesem Thema, die für Sie von Interesse sein könnten.

• Dell Support für verloren gegangenes BIOS-Kennwort
• Dell Command | PowerShell Provider – BIOS-Kennwortfunktion
• Anleitung zum Zurücksetzen oder Löschen des BIOS-Kennworts
• Allgemeine Informationen zu Festplatten- und BIOS-Kennwörtern
• Durch das Zurücksetzen des BIOS auf die Standardkonfiguration auf einem System erhalten Sie möglicherweise nicht die werkseitig konfigurierten BIOS-Einstellungen zurück.