Некоторые коммерческие и потребительские клиентские платформы Dell поддерживают функцию сброса пароля, которая предназначена для помощи авторизованным пользователям, забывшим пароли. Корпорация Dell знает о средствах создания паролей, которые могут генерировать пароли для восстановления BIOS. Инструменты, не авторизованные корпорацией Dell, могут использоваться физически присутствующим злоумышленником для сброса паролей BIOS и паролей жестких дисков, управляемых BIOS. Злоумышленник, не прошедший проверку подлинности и имеющий физический доступ к системе, может воспользоваться этой уязвимостью, чтобы обойти ограничения безопасности для конфигурации программы настройки BIOS, доступа к жесткому диску и проверки подлинности перед загрузкой в BIOS.
Корпорация Dell предоставляет несколько способов снижения рисков и ограничений, связанных с неавторизованным сбросом паролей на коммерческих платформах. Мы рекомендуем заказчикам следовать передовым практикам безопасности и предотвращать несанкционированный физический доступ к устройствам. Пользователи также могут включить функцию блокировки главным паролем в программе настройки BIOS (доступна на коммерческих платформах — все платформы с версией BIOS Insyde, начиная с марта 2024 года, и для всех других платформ, начиная с 2011 года) для защиты паролей администратора, системы, и жесткого диска от сброса.
Дополнительные сведения см. в рекомендациях по безопасности Dell: DSA-2020-119. Уязвимость, связанная с инструментами неавторизованного сброса пароля BIOS на клиентских устройствах Dell
В. Какие модели подвержены этой уязвимости?
О. Это относится к большинству коммерческих клиентских систем Dell и некоторым потребительским системам. Любая платформа, которая отображает следующие идентификаторы в запросах пароля в предзагрузочной среде BIOS (Dell Security Manager)
B: Платформы BIOS Insyde — чтобы проверить, использует ли ваша платформа на BIOS Insyde, выполните следующие действия.
В. Как защитить платформу от несанкционированного сброса пароля?
О. Существует несколько способов снижения рисков и передовых практик, которые заказчикам следует применять для защиты своих платформ.
Предупреждение. Если выбран параметр Блокировка главным паролем, а затем заказчик забыл пароль, корпорация Dell не сможет помочь в восстановлении паролей. Платформа будет невосстановимой, и необходимо будет заменить системную плату или жесткий диск.
В. Можно ли использовать этот инструмент удаленно для сброса паролей?
О. Нет, для использования пароля восстановления пользователь должен физически присутствовать рядом с системой. Таким образом, необходимо всегда применять физическую защиту платформы.
В. Как определить, использовался ли этот инструмент на моей платформе?
О. Использование пароля восстановления может быть обнаружено, так как его использование приводит к удалению соответствующих паролей BIOS (администратора/системы или управляемого BIOS жесткого диска).
В. Позволяет ли использование пароля восстановления получить доступ к данным на моем жестком диске?
О. При установке пароля для жесткого диска отображается опция принудительной очистки жесткого диска, если использован пароль для восстановления жесткого диска. Если этот параметр был выбран при установке пароля для жесткого диска, жесткий диск будет очищен при использовании пароля для восстановления жесткого диска. Таким образом, доступ к данным запрещен. Если этот параметр не выбран, данные на жестком диске будут сохранены. Однако если используется шифрование жесткого диска (например, BitLocker), данные доступны, но информация на диске защищена от раскрытия.
В. Позволяет ли использование пароля восстановления получить доступ к операционной системе?
О. Использование пароля восстановления не позволяет обойти ввод учетных данных ОС.
В. Влияет ли это на самошифруемые диски, которые используют внешнее приложение управления самошифруемыми дисками для установки паролей?
О. Этот инструмент не влияет на самошифрующиеся диски, которые выделяются и управляются внешними приложениями управления самошифрующимися дисками. Инструмент сброса влияет только на пароли BIOS, управляемые программой настройки BIOS.
В. Влияет ли это средство на целостность микропрограммы BIOS и на корень доверия моей платформы?
О. Использование пароля восстановления не влияет на целостность микропрограммы BIOS. Для микропрограммы BIOS применяется защита проверки подписи NIST 800-147, а также дополнительные функции, такие как Intel BootGuard, Intel BIOSGuard и защита от записи микропрограммы набора микросхем. С помощью этого инструмента можно получить доступ к интерфейсу настройки BIOS, который позволит изменять настройки безопасности платформы, такие как включение Secure Boot и настройки TPM.
Ниже приведены некоторые рекомендованные статьи по этой теме, которые могут вас заинтересовать.