Přeskočit na hlavní obsah

DSA-2021-106: Atualização de segurança da plataforma Dell Client para várias vulnerabilidades nos recursos BIOSConnect e HTTPS Boot como parte do BIOS do Dell Client

Shrnutí: A Dell está lançando correções para várias vulnerabilidades de segurança que afetam os recursos BIOSConnect e HTTPS Boot.

Tento článek se vztahuje na Tento článek se nevztahuje na Tento článek není vázán na žádný konkrétní produkt. V tomto článku nejsou uvedeny všechny verze produktu.

Vliv

High

Podrobnosti

Código proprietário - CVEs Descrição Pontuação básica de CVSS String de vetor do CVSS
CVE-2021-21571 A pilha https do BIOS UEFI da Dell, utilizada pelos recursos BIOSConnect e HTTPS Boot da Dell, contém uma vulnerabilidade de validação de certificado inadequada. Um invasor remoto não autenticado consegue explorar essa vulnerabilidade usando um ataque do tipo person-in-the-middle, o que pode levar a uma negação de serviço e à adulteração do payload. 5.9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572,
CVE-2021-21573,
CVE-2021-21574
O recurso BIOSConnect da Dell contém uma vulnerabilidade de estouro de buffer. Um usuário administrador mal-intencionado autenticado com acesso local ao sistema pode explorar essa vulnerabilidade para executar código arbitrário e ignorar as restrições de UEFI. 7.2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Descrição dos recursos BIOSConnect e HTTPS Boot da Dell:
  • O recurso BIOSConnect da Dell é uma solução de pré-inicialização usada para atualizar o BIOS do sistema e recuperar o SO (sistema operacional) usando o SupportAssist OS Recovery em plataformas Dell Client. Nota: O recurso BIOSConnect requer um usuário fisicamente presente para iniciá-lo. Somente um subconjunto de plataformas com o recurso BIOSConnect é afetado. Consulte a tabela na seção Mais informações para conhecer as plataformas afetadas.
  • O recurso HTTPS Boot da Dell é uma extensão das especificações de inicialização HTTP UEFI para inicializar a partir de um servidor HTTP(S). Nota: Esse recurso não é configurado por padrão e requer um usuário fisicamente presente com direitos de administrador do sistema operacional local para realizar a configuração. Além disso, é necessário um usuário fisicamente presente para iniciar o recurso quando usado com redes sem fio. Nem todas as plataformas contêm o recurso HTTPS Boot. Consulte a tabela na seção Mais informações para obter uma lista das plataformas lista afetadas.
As vulnerabilidades acima foram relatadas como uma cadeia de vulnerabilidades. A pontuação cumulativa da cadeia de vulnerabilidades é: Alta - 8,3 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Explorar a cadeia requer a realização de outras etapas:
  • Para explorar a cadeia de vulnerabilidade no BIOSConnect, um agente mal-intencionado deve executar outras etapas separadamente antes de uma exploração bem-sucedida, inclusive: comprometer a rede de um usuário, obter um certificado confiável por uma das autoridades de certificação integradas da pilha https do BIOS UEFI da Dell e aguardar até que um usuário que esteja fisicamente presente no sistema use o recurso BIOSConnect.
  • Para explorar a vulnerabilidade no HTTPS Boot, um agente mal-intencionado deve executar outras etapas separadamente antes de uma exploração bem-sucedida, inclusive: comprometer a rede de um usuário, obter um certificado confiável por uma das autoridades de certificação integradas da pilha https do BIOS UEFI da Dell e aguardar até que um usuário que esteja fisicamente presente no sistema altere a ordem de inicialização e use o recurso HTTPS Boot.
Além de aplicar as correções abaixo, os clientes podem proteger-se ainda mais ao seguir as melhores práticas de segurança, usando apenas redes protegidas e impedindo o acesso local e físico não autorizado aos dispositivos. Para garantir mais proteção, os clientes também devem ativar recursos de segurança da plataforma, tais como Secure Boot (ativado por padrão para plataformas Dell com Windows) e BIOS Admin Password.

Nota: Se o recurso Secure Boot estiver desativado, isso poderá afetar a possível gravidade associada à vulnerabilidade de segurança CVE-2021-21571.
Código proprietário - CVEs Descrição Pontuação básica de CVSS String de vetor do CVSS
CVE-2021-21571 A pilha https do BIOS UEFI da Dell, utilizada pelos recursos BIOSConnect e HTTPS Boot da Dell, contém uma vulnerabilidade de validação de certificado inadequada. Um invasor remoto não autenticado consegue explorar essa vulnerabilidade usando um ataque do tipo person-in-the-middle, o que pode levar a uma negação de serviço e à adulteração do payload. 5.9 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572,
CVE-2021-21573,
CVE-2021-21574
O recurso BIOSConnect da Dell contém uma vulnerabilidade de estouro de buffer. Um usuário administrador mal-intencionado autenticado com acesso local ao sistema pode explorar essa vulnerabilidade para executar código arbitrário e ignorar as restrições de UEFI. 7.2 CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H
 


Descrição dos recursos BIOSConnect e HTTPS Boot da Dell:
  • O recurso BIOSConnect da Dell é uma solução de pré-inicialização usada para atualizar o BIOS do sistema e recuperar o SO (sistema operacional) usando o SupportAssist OS Recovery em plataformas Dell Client. Nota: O recurso BIOSConnect requer um usuário fisicamente presente para iniciá-lo. Somente um subconjunto de plataformas com o recurso BIOSConnect é afetado. Consulte a tabela na seção Mais informações para conhecer as plataformas afetadas.
  • O recurso HTTPS Boot da Dell é uma extensão das especificações de inicialização HTTP UEFI para inicializar a partir de um servidor HTTP(S). Nota: Esse recurso não é configurado por padrão e requer um usuário fisicamente presente com direitos de administrador do sistema operacional local para realizar a configuração. Além disso, é necessário um usuário fisicamente presente para iniciar o recurso quando usado com redes sem fio. Nem todas as plataformas contêm o recurso HTTPS Boot. Consulte a tabela na seção Mais informações para obter uma lista das plataformas lista afetadas.
As vulnerabilidades acima foram relatadas como uma cadeia de vulnerabilidades. A pontuação cumulativa da cadeia de vulnerabilidades é: Alta - 8,3 CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Explorar a cadeia requer a realização de outras etapas:
  • Para explorar a cadeia de vulnerabilidade no BIOSConnect, um agente mal-intencionado deve executar outras etapas separadamente antes de uma exploração bem-sucedida, inclusive: comprometer a rede de um usuário, obter um certificado confiável por uma das autoridades de certificação integradas da pilha https do BIOS UEFI da Dell e aguardar até que um usuário que esteja fisicamente presente no sistema use o recurso BIOSConnect.
  • Para explorar a vulnerabilidade no HTTPS Boot, um agente mal-intencionado deve executar outras etapas separadamente antes de uma exploração bem-sucedida, inclusive: comprometer a rede de um usuário, obter um certificado confiável por uma das autoridades de certificação integradas da pilha https do BIOS UEFI da Dell e aguardar até que um usuário que esteja fisicamente presente no sistema altere a ordem de inicialização e use o recurso HTTPS Boot.
Além de aplicar as correções abaixo, os clientes podem proteger-se ainda mais ao seguir as melhores práticas de segurança, usando apenas redes protegidas e impedindo o acesso local e físico não autorizado aos dispositivos. Para garantir mais proteção, os clientes também devem ativar recursos de segurança da plataforma, tais como Secure Boot (ativado por padrão para plataformas Dell com Windows) e BIOS Admin Password.

Nota: Se o recurso Secure Boot estiver desativado, isso poderá afetar a possível gravidade associada à vulnerabilidade de segurança CVE-2021-21571.
Společnost Dell Technologies všem zákazníkům doporučuje vzít v úvahu základní hodnocení CVSS i všechna související hodnocení v daném čase a prostředí, která mohou mít vliv na potenciální závažnost dané konkrétní bezpečnostní hrozby.

Dotčené produkty a náprava

A CVE-2021-21573 e a CVE-2021-21574 foram corrigidas nos componentes relacionados ao BIOSConnect nos servidores back-end da Dell em 28 de maio de 2021 e não exigem nenhuma ação adicional do cliente.

A CVE-2021-21571 e a CVE-2021-21572 exigem atualizações do BIOS do client Dell para solucionar as vulnerabilidades. Consulte a tabela na seção Mais informações para determinar a versão do BIOS do client Dell corrigida que deve ser aplicada a seu sistema. Há várias maneiras de atualizar o BIOS de seu client Dell. Se você normalmente usa o BIOSConnect para atualizar o BIOS, a Dell recomenda usar um método diferente para aplicar as atualizações do BIOS, como: Para aqueles que não podem aplicar as atualizações do BIOS imediatamente, a Dell também forneceu uma redução provisória para desativar os recursos BIOSConnect e HTTPS Boot. Consulte a seção abaixo.
A CVE-2021-21573 e a CVE-2021-21574 foram corrigidas nos componentes relacionados ao BIOSConnect nos servidores back-end da Dell em 28 de maio de 2021 e não exigem nenhuma ação adicional do cliente.

A CVE-2021-21571 e a CVE-2021-21572 exigem atualizações do BIOS do client Dell para solucionar as vulnerabilidades. Consulte a tabela na seção Mais informações para determinar a versão do BIOS do client Dell corrigida que deve ser aplicada a seu sistema. Há várias maneiras de atualizar o BIOS de seu client Dell. Se você normalmente usa o BIOSConnect para atualizar o BIOS, a Dell recomenda usar um método diferente para aplicar as atualizações do BIOS, como: Para aqueles que não podem aplicar as atualizações do BIOS imediatamente, a Dell também forneceu uma redução provisória para desativar os recursos BIOSConnect e HTTPS Boot. Consulte a seção abaixo.

Esta é uma lista de produtos afetados, datas de lançamento e versões mínimas do BIOS aplicáveis:   
 

Produto Versão de atualização do BIOS
(ou posterior)
Suporta o BIOSConnect Suporta o HTTP(s) Boot Data de lançamento (DD/MM/AAAA)
Lançamento esperado (mês/AAAA)
Alienware m15 R6 1.3.3 Sim Sim 21/06/2021
ChengMing 3990 1.4.1 Sim Não 23/06/2021
ChengMing 3991 1.4.1 Sim Não 23/06/2021
Dell G15 5510 1.4.0 Sim Sim 21/06/2021
Dell G15 5511 1.3.3 Sim Sim 21/06/2021
Dell G3 3500 1.9.0 Sim Não 24/06/2021
Dell G5 5500 1.9.0 Sim Não 24/06/2021
Dell G7 7500 1.9.0 Sim Não 23/06/2021
Dell G7 7700 1.9.0 Sim Não 23/06/2021
Inspiron 14 5418 2.1.0 A06 Sim Sim 24/06/2021
Inspiron 15 5518 2.1.0 A06 Sim Sim 24/06/2021
Inspiron 15 7510 1.0.4 Sim Sim 23/06/2021
Inspiron 3501 1.6.0 Sim Não 23/06/2021
Inspiron 3880 1.4.1 Sim Não 23/06/2021
Inspiron 3881 1.4.1 Sim Não 23/06/2021
Inspiron 3891 1.0.11 Sim Sim 24/06/2021
Inspiron 5300 1.7.1 Sim Não 23/06/2021
Inspiron 5301 1.8.1 Sim Não 23/06/2021
Inspiron 5310 2.1.0 Sim Sim 23/06/2021
Inspiron 5400 2 em 1 1.7.0 Sim Não 23/06/2021
Inspiron 5400 AIO 1.4.0 Sim Não 23/06/2021
Inspiron 5401 1.7.2 Sim Não 23/06/2021
Inspiron 5401 AIO 1.4.0 Sim Não 23/06/2021
Inspiron 5402 1.5.1 Sim Não 23/06/2021
Inspiron 5406 2 em 1 1.5.1 Sim Não 23/06/2021
Inspiron 5408 1.7.2 Sim Não 23/06/2021
Inspiron 5409 1.5.1 Sim Não 23/06/2021
Inspiron 5410 2 em 1 2.1.0 Sim Sim 23/06/2021
Inspiron 5501 1.7.2 Sim Não 23/06/2021
Inspiron 5502 1.5.1 Sim Não 23/06/2021
Inspiron 5508 1.7.2 Sim Não 23/06/2021
Inspiron 5509 1.5.1 Sim Não 23/06/2021
Inspiron 7300 1.8.1 Sim Não 23/06/2021
Inspiron 7300 2 em 1 1.3.0 Sim Não 23/06/2021
Inspiron 7306 2 em 1 1.5.1 Sim Não 23/06/2021
Inspiron 7400 1.8.1 Sim Não 23/06/2021
Inspiron 7500 1.8.0 Sim Não 23/06/2021
Inspiron 7500 2 em 1 - preto 1.3.0 Sim Não 23/06/2021
Inspiron 7500 2 em 1 - prata 1.3.0 Sim Não 23/06/2021
Inspiron 7501 1.8.0 Sim Não 23/06/2021
Inspiron 7506 2 em 1 1.5.1 Sim Não 23/06/2021
Inspiron 7610 1.0.4 Sim Sim 23/06/2021
Inspiron 7700 AIO 1.4.0 Sim Não 23/06/2021
Inspiron 7706 2 em 1 1.5.1 Sim Não 23/06/2021
Latitude 3120 1.1.0 Sim Não 23/06/2021
Latitude 3320 1.4.0 Sim Sim 23/06/2021
Latitude 3410 1.9.0 Sim Não 23/06/2021
Latitude 3420 1.8.0 Sim Não 23/06/2021
Latitude 3510 1.9.0 Sim Não 23/06/2021
Latitude 3520 1.8.0 Sim Não 23/06/2021
Latitude 5310 1.7.0 Sim Não 24/06/2021
Latitude 5310 2 em 1 1.7.0 Sim Não 24/06/2021
Latitude 5320 1.7.1 Sim Sim 21/06/2021
Latitude 5320 2 em 1 1.7.1 Sim Sim 21/06/2021
Latitude 5410 1.6.0 Sim Não 23/06/2021
Latitude 5411 1.6.0 Sim Não 23/06/2021
Latitude 5420 1.8.0 Sim Sim 22/06/2021
Latitude 5510 1.6.0 Sim Não 23/06/2021
Latitude 5511 1.6.0 Sim Não 23/06/2021
Latitude 5520 1.7.1 Sim Sim 21/06/2021
Latitude 5521 1.3.0 A03 Sim Sim 22/06/2021
Latitude 7210 2 em 1 1.7.0 Sim Não 23/06/2021
Latitude 7310 1.7.0 Sim Não 23/06/2021
Latitude 7320 1.7.1 Sim Sim 23/06/2021
Latitude 7320 removível 1.4.0 A04 Sim Sim 22/06/2021
Latitude 7410 1.7.0 Sim Não 23/06/2021
Latitude 7420 1.7.1 Sim Sim 23/06/2021
Latitude 7520 1.7.1 Sim Sim 23/06/2021
Latitude 9410 1.7.0 Sim Não 23/06/2021
Latitude 9420 1.4.1 Sim Sim 23/06/2021
Latitude 9510 1.6.0 Sim Não 23/06/2021
Latitude 9520 1.5.2 Sim Sim 23/06/2021
Latitude 5421 1.3.0 A03 Sim Sim 22/06/2021
OptiPlex 3080 2.1.1 Sim Não 23/06/2021
OptiPlex 3090 UFF 1.2.0 Sim Sim 23/06/2021
All in one OptiPlex 3280 1.7.0 Sim Não 23/06/2021
OptiPlex 5080 1.4.0 Sim Não 23/06/2021
Torre OptiPlex 5090 1.1.35 Sim Sim 23/06/2021
OptiPlex 5490 AIO 1.3.0 Sim Sim 24/06/2021
OptiPlex 7080 1.4.0 Sim Não 23/06/2021
Torre OptiPlex 7090 1.1.35 Sim Sim 23/06/2021
OptiPlex 7090 UFF 1.2.0 Sim Sim 23/06/2021
OptiPlex 7480 all in one 1.7.0 Sim Não 23/06/2021
OptiPlex 7490 all in one 1.3.0 Sim Sim 24/06/2021
OptiPlex 7780 all in one 1.7.0 Sim Não 23/06/2021
Precision 17 M5750 1.8.2 Sim Não 09/06/2021
Precision 3440 1.4.0 Sim Não 23/06/2021
Precision 3450 1.1.35 Sim Sim 24/06/2021
Precision 3550 1.6.0 Sim Não 23/06/2021
Precision 3551 1.6.0 Sim Não 23/06/2021
Precision 3560 1.7.1 Sim Sim 21/06/2021
Precision 3561 1.3.0 A03 Sim Sim 22/06/2021
Precision 3640 1.6.2 Sim Não 23/06/2021
Precision 3650 MT 1.2.0 Sim Sim 24/06/2021
Precision 5550 1.8.1 Sim Não 23/06/2021
Precision 5560 1.3.2 Sim Sim 23/06/2021
Precision 5760 1.1.3 Sim Sim 16/06/2021
Precision 7550 1.8.0 Sim Não 23/06/2021
Precision 7560 1.1.2 Sim Sim 22/06/2021
Precision 7750 1.8.0 Sim Não 23/06/2021
Precision 7760 1.1.2 Sim Sim 22/06/2021
Vostro 14 5410 2.1.0 A06 Sim Sim 24/06/2021
Vostro 15 5510 2.1.0 A06 Sim Sim 24/06/2021
Vostro 15 7510 1.0.4 Sim Sim 23/06/2021
Vostro 3400 1.6.0 Sim Não 23/06/2021
Vostro 3500 1.6.0 Sim Não 23/06/2021
Vostro 3501 1.6.0 Sim Não 23/06/2021
Vostro 3681 2.4.0 Sim Não 23/06/2021
Vostro 3690 1.0.11 Sim Sim 24/06/2021
Vostro 3881 2.4.0 Sim Não 23/06/2021
Vostro 3888 2.4.0 Sim Não 23/06/2021
Vostro 3890 1.0.11 Sim Sim 24/06/2021
Vostro 5300 1.7.1 Sim Não 23/06/2021
Vostro 5301 1.8.1 Sim Não 23/06/2021
Vostro 5310 2.1.0 Sim Sim 23/06/2021
Vostro 5401 1.7.2 Sim Não 23/06/2021
Vostro 5402 1.5.1 Sim Não 23/06/2021
Vostro 5501 1.7.2 Sim Não 23/06/2021
Vostro 5502 1.5.1 Sim Não 23/06/2021
Vostro 5880 1.4.0 Sim Não 23/06/2021
Vostro 5890 1.0.11 Sim Sim 24/06/2021
Vostro 7500 1.8.0 Sim Não 23/06/2021
XPS 13 9305 1.0.8 Sim Não 23/06/2021
XPS 13 2 em 1 9310 2.3.3 Sim Não 23/06/2021
XPS 13 9310 3.0.0 Sim Não 24/06/2021
XPS 15 9500 1.8.1 Sim Não 23/06/2021
XPS 15 9510 1.3.2 Sim Sim 23/06/2021
XPS 17 9700 1.8.2 Sim Não 09/06/2021
XPS 17 9710 1.1.3 Sim Sim 15/06/2021

Zástupná řešení a opatření pro zmírnění rizik

A Dell recomenda que todos os clientes atualizem para a versão mais recente do BIOS do Dell Client o mais rápido possível. Os clientes que optarem por não aplicar as atualizações do BIOS imediatamente ou que, de outra forma, não puderem fazer isso agora, deverão aplicar a redução abaixo.

BIOSConnect:

Os clientes podem desativar o recurso BIOSConnect usando uma das duas opções:
Opção 1: Os clientes podem desativar o BIOSConnect na página de configuração do BIOS (F2).
Nota: Os clientes podem encontrar a opção BIOSConnect em diferentes interfaces do menu de configuração do BIOS, dependendo do modelo da plataforma. Elas são apresentadas abaixo como Menu de configuração do BIOS Tipo A e Menu de configuração do BIOS Tipo B.
Menu de configuração do BIOS Tipo A: F2 > Update, Recovery > BIOSConnect > Alternar para Off.
Menu de configuração do BIOS Tipo B: F2 > Settings > SupportAssist System Resolution > BIOSConnect > Desmarcar a opção BIOSConnect.
 
Opção 2: Os clientes podem utilizar a ferramenta de gerenciamento remoto de sistema do DCC (Dell Command | Configure) para desativar as configurações do BIOS no BIOSConnect.
 
Nota: A Dell recomenda que os clientes não executem a "atualização flash do BIOS - remota", acessível ao pressionar F12, até que o sistema seja atualizado com uma versão corrigida do BIOS.

HTTPS Boot:
Os clientes podem desativar o recurso HTTPS Boot usando uma das duas opções:
Opção 1: Os clientes podem desativar o BIOSConnect na página de configuração do BIOS (F2).
Menu de configuração do BIOS Tipo A: F2 > Connection > HTTP(s) Boot > Alternar para Off.
Menu de configuração do BIOS Tipo B: F2 > Settings > SupportAssist System Resolution > BIOSConnect > Desmarcar a opção BIOSConnect.
Opção 2: Os clientes podem utilizar a ferramenta de gerenciamento remoto de sistema do DCC (Dell Command | Configure) para desativar o suporte ao recurso HTTP Boot.

Historie změn

RevisãoDataDescrição
1.024/06/2021Versão inicial

Přijetí

A Dell gostaria de agradecer a Mickey Shkatov e Jesse Michael, da Eclypsium, por relatarem esse problema.

Související informace

Dotčené produkty

Alienware m15 R6, Inspiron, OptiPlex, Latitude, Vostro, XPS

Produkty

Product Security Information
Vlastnosti článku
Číslo článku: 000188682
Typ článku: Dell Security Advisory
Poslední úprava: 15 zář 2021
Najděte odpovědi na své otázky od ostatních uživatelů společnosti Dell
Služby podpory
Zkontrolujte, zda se na vaše zařízení vztahují služby podpory.