DSA 참조: DSA-2020-119: Dell 클라이언트 제품 승인되지 않은 BIOS 암호 재설정 툴 취약성
일부 Dell 클라이언트 상용 및 고객 플랫폼 지원은 암호를 잊어버린 공인 고객을 돕기 위해 설계된 암호 재설정 기능을 지원합니다. Dell은 BIOS 복구 암호를 생성할 수 있는 암호 생성 툴을 알고 있습니다. Dell에서 승인하지 않은 툴은 실제로 존재하는 공격자가 BIOS 암호 및 BIOS 관리(하드 드라이브) HDD 암호를 재설정하는 데 사용할 수 있습니다. 시스템에 물리적으로 액세스할 수 있는 인증되지 않은 공격자가 잠재적으로 이 취약성을 악용하여 BIOS 설정 구성, HDD 액세스 및 BIOS 부팅 전 인증에 대한 보안 제한을 우회할 수 있습니다.
Dell은 상용 플랫폼에서 승인되지 않은 재설정 암호 사용에 대한 몇 가지 완화 조치와 제한 사항을 제공합니다. 고객은 보안 모범 사례를 따르고 디바이스에 대한 승인되지 않은 물리적 액세스를 방지할 것을 권장합니다. 또한, 고객은 BIOS 설정에서 마스터 비밀번호 잠금 기능을 활성화하여(커머셜 플랫폼, 즉 2024년 3월 이후 Insyde BIOS 릴리스가 포함된 모든 플랫폼 및 2011년 이후에 시작된 기타 모든 플랫폼에서 사용 가능) 관리자, 시스템, HDD 비밀번호가 재설정되지 않도록 보호할 수 있습니다.
자세한 내용은 Dell의 보안 권장 사항을 참조하십시오. DSA-2020-119: Dell 클라이언트 제품 승인되지 않은 BIOS 암호 재설정 툴 취약성
Q: 어떤 모델이 영향을 받습니까?
A: 대부분의 Dell 클라이언트 상용 시스템과 일부 소비자 시스템에 영향을 미칩니다. BIOS 부팅 전 암호 프롬프트(Dell Security Manager)에 다음 식별자를 표시하는 모든 플랫폼에 영향을 미칩니다.
B: Insyde BIOS 플랫폼 - 플랫폼이 Insyde BIOS 기반인지 확인하려면
Q: 승인되지 않은 비밀번호 재설정으로부터 플랫폼을 보호하려면 어떻게 해야 합니까?
A: 고객이 플랫폼을 보호하기 위해 따라야 할 몇 가지 완화 조치와 모범 사례가 있습니다.
경고: Master Password Lockout 옵션을 선택하고 고객이 이후에 암호를 잊어버린 경우 Dell은 암호 복구를 지원할 수 없습니다. 플랫폼은 복구될 수 없으며 마더보드 또는 하드 드라이브를 교체해야 합니다.
Q: 이 툴을 원격으로 사용하여 비밀번호를 재설정할 수 있습니까?
A: 아니요, 사용자가 시스템을 직접 사용해야 복구 암호를 사용할 수 있습니다. 따라서 플랫폼의 물리적 보호는 항상 실행되어야 합니다.
Q: 이 툴이 내 플랫폼에서 사용되었는지 어떻게 확인할 수 있습니까?
A: 복구 비밀번호를 사용하면 탐지할 수 있습니다. 해당 BIOS 비밀번호(관리자/시스템 또는 BIOS 관리 HDD)가 제거되기 때문입니다.
Q: 복구 비밀번호를 사용하면 HDD의 데이터에 액세스할 수 있습니까?
A: HDD 암호를 설정할 때 HDD 복구 암호를 사용할 경우 HDD를 강제로 삭제하는 옵션이 표시됩니다. HDD 암호를 설정할 때 이 옵션을 선택한 경우 HDD 복구 암호를 사용하면 HDD가 삭제됩니다. 따라서 데이터 액세스가 허용되지 않습니다. 이 옵션을 선택하지 않으면 HDD의 데이터가 유지됩니다. 그러나 HDD 암호화를 사용하는 경우(예: BitLocker) 데이터에 액세스할 수 있지만 드라이브의 정보는 공개되지 않도록 보호됩니다.
Q: 복구 비밀번호를 사용하면 운영 체제에 액세스할 수 있습니까?
A: 복구 암호를 사용해도 OS 자격 증명을 우회할 수 없습니다.
Q: 외부 SED 관리 애플리케이션을 사용하여 드라이브에 비밀번호를 설정하는 SED(Self-Encrypting Drive)에 영향을 미칩니까?
A: 이 툴은 외부 SED 관리 애플리케이션에서 프로비저닝하고 관리하는 SED(Self-Encrypting Drive)에는 영향을 미치지 않습니다. 재설정 툴은 BIOS 설정에서 관리하는 BIOS 암호에만 영향을 줍니다.
Q: 이 툴은 BIOS 펌웨어의 무결성과 신뢰할 수 있는 플랫폼 루트를 손상시킵니까?
A: 복구 암호를 사용해도 BIOS 펌웨어의 무결성이 손상되지는 않습니다. BIOS 펌웨어는 NIST 800-147 서명 검증 보호뿐만 아니라 인텔 BootGuard, 인텔 BIOSGuard 및 칩셋 펌웨어 쓰기 보호와 같은 추가 기능으로 보호됩니다. 이 툴을 사용하면 BIOS 설정 인터페이스에 액세스할 수 있으므로 보안 부팅 활성화 및 TPM 설정과 같은 플랫폼의 보안 설정을 변경할 수 있습니다.
다음은 사용자가 관심 있을 만한, 이 주제와 관련된 몇 가지 권장 문서입니다.