Довідка DSA: DSA-2020-119: Уразливість інструменту несанкціонованого скидання пароля BIOS Client Products
Вибрані клієнтські комерційні та споживчі платформи Dell підтримують можливість скидання пароля, призначену для допомоги авторизованим клієнтам, які забули свої паролі. Dell знає про інструменти генерації паролів, які можуть генерувати паролі для відновлення BIOS. Інструменти, які не авторизовані Dell, можуть бути використані фізично присутнім зловмисником для скидання паролів BIOS і паролів жорсткого диска, керованих BIOS (жорстким диском). Неавтентифікований зловмисник, який має фізичний доступ до системи, потенційно може скористатися цією вразливістю, щоб обійти обмеження безпеки для конфігурації BIOS Setup, доступу до жорсткого диска та автентифікації BIOS перед завантаженням.
Dell надає кілька пом'якшень і обмежень на використання несанкціонованого скидання паролів на комерційних платформах. Ми рекомендуємо клієнтам дотримуватися найкращих практик безпеки та запобігати несанкціонованому фізичному доступу до пристроїв. Клієнти також можуть увімкнути функцію блокування майстер-пароля в налаштуваннях BIOS (доступно на платформах з 2011 року), щоб захистити паролі адміністратора, системи та жорсткого диска від скидання.
Перегляньте рекомендації з безпеки Dell для отримання більш детальної інформації: https://www.dell.com/support/kbdoc/000180741
Q: Яких моделей це стосується?
A: Це стосується більшості клієнтських комерційних систем Dell і деяких споживчих систем. Будь-яка платформа, яка відображає наведені нижче ідентифікатори в підказках пароля перед завантаженням BIOS (Dell Security Manager)
Q: Як захистити свою платформу від несанкціонованого скидання пароля?
A: Існує кілька пом'якшень і найкращих практик, яких клієнти повинні дотримуватися, щоб захистити свої платформи.
Попередження: Якщо вибрано опцію Master Password Lockout, а клієнт згодом забуде пароль, Dell не зможе допомогти у відновленні паролів. Платформа не підлягає відновленню, а материнську плату або жорсткий диск потрібно буде замінити.
Q: Чи можна використовувати цей інструмент віддалено для скидання паролів?
A: Ні, користувач повинен бути фізично присутнім у системі, щоб використовувати пароль відновлення. Отже, фізичний захист платформи завжди повинен практикуватися.
Q: Як я можу визначити, чи використовувався цей інструмент на моїй платформі?
A: Використання пароля відновлення може бути виявлено, оскільки його використання призводить до видалення відповідних паролів BIOS (Admin/System або BIOS-managed HDD).
Q: Чи дозволяє використання пароля відновлення доступ до даних на жорсткому диску?
A: При встановленні пароля жорсткого диска пропонується можливість примусового стирання жорсткого диска, якщо використовується пароль відновлення жорсткого диска. Якщо цей параметр був обраний при встановленні пароля жорсткого диска, жорсткий диск стирається після використання пароля відновлення жорсткого диска. Таким чином, доступ до даних заборонено. Якщо цей параметр не вибрано, дані на жорсткому диску зберігаються. Однак, якщо використовується шифрування жорсткого диска (наприклад, BitLocker), дані доступні, але інформація на диску захищена від розголошення.
Q: Чи дозволяє використання пароля відновлення доступ до операційної системи?
A: Використання пароля відновлення не дозволяє обійти облікові дані ОС.
Q: Чи впливає це на самошифрувальні диски, які використовують зовнішню програму керування SED для встановлення паролів на моєму диску?
A: Цей інструмент не впливає на самошифрувальні диски, які надаються та керуються зовнішніми програмами керування SED. Інструмент скидання впливає лише на паролі BIOS, якими керує BIOS Setup.
Q: Чи не ставить цей інструмент під загрозу цілісність моєї прошивки BIOS і кореня довіри моєї платформи?
A: Використання пароля відновлення не порушує цілісність прошивки BIOS. Прошивка BIOS захищена захистом перевірки підпису NIST 800-147, а також додатковими функціями, такими як Intel BootGuard, Intel BIOSGuard і захистом від запису прошивки чіпсета. Використання інструменту може дозволити доступ до інтерфейсу налаштування BIOS, що дозволить змінити налаштування безпеки платформи, такі як Secure Boot Enable і TPM.
Ось кілька рекомендованих статей, пов'язаних з цією темою, які можуть вас зацікавити.