Referencia de DSA: DSA-2020-119: Vulnerabilidad por herramienta de restablecimiento no autorizado de contraseñas del BIOS en productos de cliente Dell
Ciertas plataformas de clientes, comerciales y consumidores de Dell soportan una funcionalidad de restablecimiento de contraseña diseñada para ayudar a los clientes autorizados que suelen olvidarlas. Dell está consciente de la existencia de herramientas de generación de contraseñas que pueden generar contraseñas de recuperación del BIOS. Un atacante físicamente presente puede utilizar herramientas que no estén autorizadas por Dell para restablecer las contraseñas del BIOS y las contraseñas de un HDD (disco duro) administrado por el BIOS. Es probable que un atacante no autenticado con acceso físico al sistema aproveche esta vulnerabilidad para anular las restricciones de seguridad en la configuración del BIOS, el acceso al HDD y la autenticación previa al arranque del BIOS.
Dell proporciona varias mitigaciones y limitaciones para el uso de contraseñas de restablecimiento no autorizadas en plataformas comerciales. Se recomienda que los clientes sigan las prácticas recomendadas de seguridad y eviten el acceso físico no autorizado a los dispositivos. Los clientes también pueden optar por habilitar la característica de bloqueo de contraseña maestra en la configuración del BIOS (disponible en plataformas comerciales: todas las plataformas con la versión del BIOS de Insyde a partir de marzo del 2024 y para todas las demás plataformas a partir del 2011) a fin de evitar que se restablezcan las contraseñas del administrador, el sistema y el HDD.
Consulte la asesoría de seguridad de Dell para conocer más detalles: DSA-2020-119: Vulnerabilidad por herramienta de restablecimiento no autorizado de contraseñas del BIOS en productos de cliente Dell
P: ¿Qué modelos se ven afectados?
R: Esto afecta a la mayoría de los sistemas comerciales de clientes de Dell y a determinados sistemas de consumidores. Cualquier plataforma que muestre los siguientes identificadores en las solicitudes de contraseña previas al arranque del BIOS (Dell Security Manager)
B: Plataformas del BIOS de Insyde: para comprobar si su plataforma se basa en el BIOS de Insyde,
P: ¿Cómo puedo proteger mi plataforma de un restablecimiento de contraseña no autorizado?
R: Hay varias mitigaciones y prácticas recomendadas que los clientes deben seguir para ayudarse a proteger sus plataformas.
Advertencia: Si se selecciona la opción Master Password Lockout y el cliente después olvida la contraseña, Dell no podrá ayudar en la recuperación de las contraseñas. La plataforma quedará en un estado irrecuperable y se deberá reemplazar la placa base o el disco duro.
P: ¿Se puede utilizar esta herramienta de forma remota para restablecer mis contraseñas?
R: No, el usuario debe estar presente físicamente en el sistema para utilizar la contraseña de recuperación. Por lo tanto, siempre se debe llevar a la práctica la protección física de la plataforma.
P: ¿Cómo puedo determinar si se utilizó esta herramienta en mi plataforma?
R: Se puede detectar el uso de la contraseña de recuperación, ya que su uso da lugar a la eliminación de las contraseñas del BIOS correspondientes (administrador/sistema o HDD administrado por el BIOS).
P: ¿El uso de la contraseña de recuperación permite el acceso a los datos en mi HDD?
R: Cuando se configura la contraseña del HDD, se presenta una opción para forzar el borrado del HDD si se utiliza la contraseña de recuperación del HDD. Si se seleccionó esta opción cuando se estableció la contraseña del HDD, el HDD se borra tras utilizar la contraseña de recuperación del HDD. Por lo tanto, no se permite el acceso a los datos. Si esta opción no está seleccionada, se conservan los datos del HDD. Sin embargo, si se utiliza el cifrado de HDD (como BitLocker), se puede acceder a los datos, pero la información de la unidad está protegida contra divulgaciones.
P: ¿El uso de la contraseña de recuperación permite el acceso al sistema operativo?
R: El uso de la contraseña de recuperación no permite omitir las credenciales del SO.
P: ¿Esto afecta a las unidades de autocifrado que utilizan una aplicación externa de administración de SED para configurar contraseñas en mi unidad?
R: Esta herramienta no afecta a las unidades de autocifrado aprovisionadas y administradas por una aplicación externa de administración de SED. La herramienta de restablecimiento solo afecta a las contraseñas del BIOS administradas por la configuración del BIOS.
P: ¿Esta herramienta pone en peligro la integridad del firmware del BIOS y la raíz de confianza de mi plataforma?
R: El uso de la contraseña de recuperación no pone en peligro la integridad del firmware del BIOS. El firmware del BIOS está protegido por la verificación de firma NIST 800-147, así como por características adicionales, como Intel BootGuard, Intel BIOSGuard y las protecciones contra escritura de firmware de chipsets. El uso de la herramienta puede permitir el acceso a la interfaz de configuración del BIOS, lo que permitiría modificar la configuración de seguridad de la plataforma, como la configuración de TPM y Secure Boot Enable.
Estos son algunos artículos recomendados relacionados con este tema que podrían ser de su interés.