Riferimento DSA: DSA-2020-119: Prodotti client Dell: vulnerabilità degli strumenti di reimpostazione delle password del BIOS
Alcune piattaforme client Dell di tipo commerciale e consumer supportano una funzionalità di reimpostazione della password progettata per assistere i clienti autorizzati che dimenticano la password. Dell è a conoscenza di strumenti di generazione password in grado di generare password di ripristino del BIOS. Gli strumenti non autorizzati da Dell possono essere utilizzati da un malintenzionato presente fisicamente per reimpostare le password del BIOS e le password del disco rigido (HDD) gestite dal BIOS. Un malintenzionato non autenticato che accede fisicamente al sistema potrebbe sfruttare questa vulnerabilità per bypassare le restrizioni di sicurezza per la configurazione del BIOS, l'accesso all'HDD e l'autenticazione di preavvio del BIOS.
Dell offre varie misure di mitigazione e limitazioni all'uso di password reimpostate non autorizzate sulle piattaforme commerciali. Si consiglia ai clienti di seguire le best practice per la sicurezza ed evitare l'accesso fisico non autorizzato ai dispositivi. I clienti possono anche scegliere di abilitare la funzione Master Password Lockout dalla configurazione del BIOS (disponibile sulle piattaforme commerciali: tutte le piattaforme con versione di Insyde BIOS da marzo 2024 in poi e tutte le altre piattaforme a partire dal 2011) per proteggere le password di amministratore, sistema e HDD dalla reimpostazione.
Per ulteriori dettagli, consultare l'avviso per la sicurezza di Dell: DSA-2020-119: Prodotti client Dell: vulnerabilità degli strumenti di reimpostazione delle password del BIOS
D. Quali modelli sono interessati?
R. Il problema riguarda la maggior parte dei sistemi client Dell di tipo commerciale e determinati sistemi di tipo consumer. Qualsiasi piattaforma che riporta i seguenti identificativi nei prompt delle password di preavvio del BIOS (Dell Security Manager)
B: Piattaforme Insyde BIOS: per verificare se la piattaforma è basata su Insyde BIOS.
D. In che modo è possibile proteggere la piattaforma da una reimpostazione delle password non autorizzata?
R. Esistono varie misure di mitigazione e best practice che si consiglia ai clienti di seguire per proteggere le proprie piattaforme.
Avvertenza: se si seleziona l'opzione Master Password Lockout e il cliente dimentica in seguito la password, Dell non sarà in grado di fornire assistenza per il ripristino. La piattaforma non sarà ripristinabile e sarà necessario sostituire la scheda madre o il disco rigido.
D. Questo strumento può essere utilizzato in remoto per reimpostare le password?
R. No, un utente deve essere fisicamente presente presso il sistema per utilizzare la password di ripristino. Pertanto, è sempre consigliabile adottare misure di protezione fisica della piattaforma.
D. In che modo è possibile determinare se questo strumento è stato utilizzato sulla piattaforma?
R. È possibile rilevare l'uso della password di ripristino, poiché il suo utilizzo comporta la rimozione delle password del BIOS applicabili (amministratore/sistema o HDD gestito dal BIOS).
D. L'uso della password di ripristino consente l'accesso ai dati presenti sull'HDD?
R. Quando si imposta la password HDD, viene visualizzata un'opzione per forzare la cancellazione del disco rigido in vaso di utilizzo della password di ripristino HDD. Se questa opzione è stata selezionata al momento dell'impostazione della password HDD, il disco rigido viene cancellato al momento dell'utilizzo della password di ripristino HDD. Pertanto, non è consentito alcun accesso ai dati. Se questa opzione non è selezionata, i dati presenti sull'HDD vengono conservati. Tuttavia, se si utilizza una crittografia HDD (ad esempio BitLocker), i dati sono accessibili, ma le informazioni sull'unità sono protette dalla divulgazione.
D. L'uso della password di ripristino consente l'accesso al sistema operativo?
R. L'uso della password di ripristino non consente di bypassare le credenziali del sistema operativo.
D. Questo strumento influisce sulle unità di tipo self-encrypting drive che utilizzano un'applicazione di gestione SED esterna per impostare le password sull'unità?
R. Questo strumento non influisce sulle unità di tipo self-encrypting drive sottoposte a provisioning e gestite tramite applicazioni di gestione SED esterne. Lo strumento di reimpostazione influisce solo sulle password del BIOS gestite tramite la configurazione del BIOS.
D. Questo strumento compromette l'integrità del firmware del BIOS e la radice di attendibilità della piattaforma?
R. L'uso della password di ripristino non compromette l'integrità del firmware del BIOS. Il firmware del BIOS è protetto tramite verifica della firma NIST 800-147, nonché altre funzioni come Intel BootGuard, Intel BIOSGuard e strumenti di protezione dalla scrittura del firmware del chipset. L'uso dello strumento può consentire l'accesso all'interfaccia di configurazione del BIOS, permettendo di modificare le impostazioni di sicurezza della piattaforma, ad esempio le impostazioni Secure Boot Enable e TPM.
Di seguito sono riportati alcuni articoli consigliati correlati a questo argomento che potrebbero essere di interesse per l'utente.