DSA-2021-106: Dell clientplatform-beveiligingsupdate voor meerdere beveiligingslekken in de functies van BIOSConnect en HTTPS Boot als onderdeel van de Dell Client BIOS

Eigen code CVE's	Beschrijving	CVSS basisscore	CVSS vectortekenreeks
CVE-2021-21571	Dell UEFI BIOS https-stack die wordt gebruikt door de Dell BIOSConnect-functie en Dell HTTPS Boot-functie bevat een beveiligingslek met betrekking tot onjuiste certificaatvalidatie. Een externe niet-geautoriseerde aanvaller kan misbruik maken van dit beveiligingslek met behulp van een person-in-the-middle-aanval die kan leiden tot een denial of service en een manipulatie van de payload.	5.9	CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572, CVE-2021-21573, CVE-2021-21574	Dell BIOSConnect-functie bevat een beveiligingslek met betrekking tot een bufferoverschrijding. Een geautoriseerde kwaadwillende gebruiker met lokale toegang tot het systeem kan mogelijk misbruik maken van dit beveiligingslek om willekeurige code uit te voeren en UEFI-beperkingen te omzeilen.	7.2	CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

Beschrijving van de functies van de Dell BIOSConnect en HTTPS Boot:

• De Dell BIOSConnect-functie is een Dell preboot-oplossing die wordt gebruikt voor het updaten van het systeem-BIOS en het herstellen van het besturingssysteem (OS) met behulp van SupportAssist OS Recovery op Dell clientplatforms. Opmerking: BIOSConnect vereist een fysiek aanwezige gebruiker om deze functie te starten. Alleen een subset van platforms met de BIOSConnect-functie wordt beïnvloed. Zie de tabel onder Aanvullende informatie hieronder voor de betroffen platforms.
• De functie Dell HTTPS Boot is een uitbreiding van UEFI HTTP Boot-specificaties om op te starten vanaf een HTTP(S)-server. Opmerking: Deze functie is standaard niet geconfigureerd en vereist een fysiek aanwezige gebruiker met lokale OS-beheerdersrechten om te configureren. Bovendien is een fysiek aanwezige gebruiker verplicht om de functie te starten wanneer deze wordt gebruikt met draadloze netwerken. Niet alle platforms bevatten de HTTPS Boot-functie. Zie de tabel onder het gedeelte Aanvullende informatie hieronder voor een lijst met betroffen platforms.

De bovenstaande beveiligingslekken zijn gemeld als een keten van het beveiligingslek. De cumulatieve score van de beveiligingslek-keten is: 8.3 Hoog CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Misbruik van de keten vereist aanvullende stappen:

• Om misbruik te maken van de beveiligingslek-keten in BIOSConnect, moet een kwaadwillende actor afzonderlijke aanvullende stappen uitvoeren voordat een succesvol misbruik kan worden uitgevoerd, waaronder: het netwerk van een gebruiker in gevaar brengen, een certificaat verkrijgen dat wordt vertrouwd door een van de ingebouwde certificeringsinstanties van de Dell UEFI BIOS https-stack en wachten op een gebruiker die fysiek op het systeem aanwezig is om de BIOSConnect-functie te gebruiken.
• Om misbruik te kunnen maken van het beveiligingslek in HTTPS Boot, moet een kwaadwillende actor afzonderlijke stappen uitvoeren voordat een succesvol misbruik kan worden uitgevoerd, waaronder: het netwerk van een gebruiker in gevaar brengen, een certificaat verkrijgen dat wordt vertrouwd door een van de ingebouwde certificeringsinstanties van de Dell UEFI BIOS https-stack en wachten op een gebruiker die fysiek op het systeem aanwezig is om de opstartvolgorde te wijzigen en de HTTPS Boot-functie gebruikt.

Naast het toepassen van de onderstaande oplossingen, kunnen klanten zichzelf verder beschermen door de aanbevolen werkwijzen voor beveiligingsmaatregelen te volgen door alleen beveiligde netwerken te gebruiken en niet-geautoriseerde lokale en fysieke toegang tot apparaten te voorkomen. Klanten dienen ook functies voor platformbeveiliging in te schakelen, zoals Secure Boot (standaard ingeschakeld voor Dell platforms met Windows) en BIOS-adminwachtwoord voor extra bescherming.

Opmerking: Als Secure Boot is uitgeschakeld, kan dit van invloed zijn op de potentiële ernst die is gekoppeld aan het beveiligingslek CVE-2021-21571.

CVE-2021-21573 en CVE-2021-21574 zijn op 28 mei 2021 opgelost in de aan BIOSConnect gerelateerde onderdelen op Dell back-endservers en vereisen geen verdere actie van de klant.

Voor CVE-2021-21571 en CVE-2021-21572 zijn BIOS-updates voor Dell clients vereist om de beveiligingslekken op te lossen. Zie de tabel onder het gedeelte Aanvullende informatie om te bepalen welke versie van het herstelde Dell Client BIOS op uw systeem moet worden toegepast. Er zijn meerdere manieren om uw Dell Client BIOS bij te werken. Als u gewoonlijk BIOSConnect gebruikt om uw BIOS bij te werken, raadt Dell u aan een andere methode te gebruiken om de BIOS-updates toe te passen, zoals:

• Een van de Dell notificatieoplossingen gebruiken om automatisch op de hoogte te worden gebracht en BIOS-updates te downloaden zodra deze beschikbaar zijn.
• Ga naar de website Drivers en downloads voor updates voor de desbetreffende producten. Ga voor meer informatie naar het Dell Knowledge Base artikel Dell BIOS-updates en download de update voor uw Dell computer.
• Het BIOS flashen via het eenmalige opstartmenu F12.

Voor diegenen die niet onmiddellijk BIOS-updates kunnen toepassen, heeft Dell ook een tijdelijke oplossing geboden om de functies van BIOSConnect en HTTPS Boot uit te schakelen. Zie het onderstaande gedeelte.