Referência de DSA: DSA-2020-119: Vulnerabilidade das ferramentas de redefinição de senhas do BIOS não autorizadas para produtos de clients Dell
As plataformas comerciais e de consumidor selecionadas para clients Dell oferecem suporte a um recurso de redefinição de senhas, projetado para ajudar os clientes autorizados que esquecem suas senhas. A Dell está ciente de que há ferramentas de geração de senhas que podem gerar senhas de recuperação do BIOS. Um invasor fisicamente presente pode usar as ferramentas que não são autorizadas pela Dell para redefinir senhas do BIOS e senhas de HDD (hard-drive, disco rígido) gerenciadas pelo BIOS. Um invasor não autenticado com acesso físico ao sistema pode explorar essa vulnerabilidade para contornar as restrições de segurança da configuração do BIOS, do acesso ao disco rígido e da autenticação de pré-inicialização do BIOS.
A Dell fornece diversas reduções e limitações ao uso de senhas de redefinição não autorizadas em plataformas comerciais. Recomendamos que os clientes sigam as práticas recomendadas de segurança e previnam o acesso físico não autorizado aos dispositivos. Os clientes também podem optar por ativar o recurso Master Password Lockout na configuração do BIOS (disponível em plataformas comerciais — todas as plataformas com a versão do BIOS Insyde a partir de março de 2024 e para todas as outras plataformas a partir de 2011) para proteger as senhas de administrador, sistema e disco rígido contra redefinição.
Consulte o Informe de segurança da Dell para obter mais detalhes: DSA-2020-119: Vulnerabilidade das ferramentas de redefinição de senhas do BIOS não autorizadas para produtos de clients Dell
P: Quais modelos são afetados?
R: Esse problema afeta a maioria dos sistemas comerciais de clients Dell e determinados sistemas de consumidor. Qualquer plataforma que exiba os seguintes identificadores nos prompts de senha de pré-inicialização do BIOS (Dell Security Manager)
B: Plataformas BIOS Insyde: para verificar se sua plataforma é baseada no BIOS Insyde,
P: Como posso proteger minha plataforma contra uma redefinição de senha não autorizada?
R: Há várias reduções e práticas recomendadas que os clientes devem seguir para auxiliar na proteção das plataformas.
Advertência: Se a opção Master Password Lockout for selecionada e o cliente esquecer a senha posteriormente, a Dell não poderá ajudar na recuperação de senhas. A plataforma será irrecuperável e a placa-mãe ou o disco rígido precisará ser substituído.
P: Posso usar essa ferramenta remotamente para redefinir minhas senhas?
R: Não, um usuário precisa estar fisicamente presente no sistema para usar a senha de recuperação. Portanto, a proteção física da plataforma deve ser sempre praticada.
P: Como posso averiguar se essa ferramenta foi usada em minha plataforma?
R: O uso da senha de recuperação pode ser detectado porque, quando ela é usada, as senhas aplicáveis do BIOS são removidas (de administrador/sistema ou de disco rígido gerenciadas pelo BIOS).
P: O uso da senha de recuperação concede acesso aos dados que estão no meu disco rígido?
R: Durante a configuração da senha do disco rígido, é apresentada uma opção para forçar a limpeza do disco rígido se a senha de recuperação for usada. Se essa opção tiver sido selecionada durante a configuração da senha do disco rígido, ocorrerá a limpeza do disco rígido quando a senha de recuperação for usada. Portanto, o acesso aos dados não será permitido. Se essa opção não estiver selecionada, os dados que estão no disco rígido serão mantidos. No entanto, se a criptografia de disco rígido for usada (como o BitLocker), os dados poderão ser acessados, mas as informações contidas na unidade ficarão protegidas contra a divulgação.
P: O uso da senha de recuperação concede acesso ao sistema operacional?
R: O uso da senha de recuperação não permite um desvio das credenciais do SO.
P: Essa ferramenta afeta as unidades de criptografia automática que utilizam um aplicativo externo de gerenciamento de SED para definir senhas na minha unidade?
R: Essa ferramenta não afeta as unidades de criptografia automática que são provisionadas e gerenciadas por aplicativos externos de gerenciamento de SED. A ferramenta de redefinição afeta somente as senhas do BIOS gerenciadas pela configuração do BIOS.
P: Essa ferramenta compromete a integridade do firmware do BIOS e a raiz de confiança da plataforma?
R: O uso da senha de recuperação não compromete a integridade do firmware do BIOS. O firmware do BIOS é protegido pela proteção de verificação de assinatura NIST 800-147 e também por outros recursos, como o Intel BootGuard, o Intel BIOSGuard e as proteções contra gravação de firmware de chipset. O uso da ferramenta pode conceder acesso à interface de configuração do BIOS, o que talvez permita alterar as configurações de segurança da plataforma, como as do Secure Boot Enable e do TPM.
Aqui estão alguns artigos recomendados relacionados a este tópico que podem ser de seu interesse.