DSA-2021-106: Aktualizace zabezpečení klientské platformy Dell pro více chyb zabezpečení ve funkcích BIOSConnect a HTTPS Boot jako součást klientského systému BIOS Dell

Proprietární kódy CVE	Popis	Základní skóre CVSS	Vektorový řetězec CVSS
CVE-2021-21571	Sada https systému Dell UEFI BIOS, kterou využívají funkce Dell BIOSConnect a Dell HTTPS Boot, obsahuje chybu zabezpečení s nesprávným ověřením certifikátu. Vzdálený neověřený útočník může tuto chybu zabezpečení zneužít pomocí útoku jako prostředník, což může vést k odmítnutí služby a neoprávněné manipulaci s datovou částí.	5,9	CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:H
CVE-2021-21572, CVE-2021-21573, CVE-2021-21574	Funkce Dell BIOSConnect obsahuje chybu zabezpečení přetečení vyrovnávací paměti. Škodlivý ověřený uživatel admin, který má místní přístup do systému, může tuto chybu zabezpečení potenciálně zneužít ke spuštění libovolného kódu a obejít tak omezení UEFI.	7,2	CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H

Popis funkcí Dell BIOSConnect a HTTPS Boot:

• Funkce Dell BIOSConnect je řešení Dell před spuštěním, které se používá k aktualizaci systému BIOS a obnovení operačního systému (OS) pomocí aplikace SupportAssist OS Recovery na klientských platformách Dell. Poznámka: Funkce BIOSConnect vyžaduje pro spuštění této funkce fyzicky přítomného uživatele. Je dotčena pouze podmnožina platforem s funkcí BIOSConnect. Informace o dotčených platformách naleznete v tabulce v části Další informace níže.
• Funkce spouštění Dell HTTPS Boot je rozšířením specifikací spouštění UEFI HTTP Boot, která umožňuje spuštění ze serveru HTTP(S). Poznámka: Tato funkce není ve výchozím nastavení nakonfigurována a ke konfiguraci vyžaduje fyzicky přítomného uživatele s oprávněním správce místního operačního systému. Kromě toho je při použití s bezdrátovými sítěmi vyžadován fyzicky přítomný uživatel, aby tuto funkci spustil. Ne všechny platformy obsahují funkci HTTPS Boot. Seznam dotčených platforem naleznete v tabulce v části Další informace níže.

Výše uvedené chyby zabezpečení byly hlášeny jako řetězec chyb zabezpečení. Kumulativní skóre řetězce zranitelnosti je: 8,3 Vysoké CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Zneužití řetězce vyžaduje další kroky:

• Aby mohl škodlivý účastník zneužít řetězec chyb zabezpečení funkce BIOSConnect, musí před úspěšným zneužitím samostatně provést další kroky, konkrétně: nabourat síť uživatele, získat certifikát, který vydala některá z integrovaných certifikačních autorit sady https systému Dell UEFI BIOS, a čekat, než uživatel, který je fyzicky přítomen u systému, použije funkci BIOSConnect.
• Aby mohl škodlivý účastník zneužít chybu zabezpečení zranitelnosti funkce HTTPS Boot, musí před úspěšným zneužitím samostatně provést další kroky, konkrétně: nabourat síť uživatele, získat certifikát, který vydala některá z integrovaných certifikačních autorit sady https systému Dell UEFI BIOS, a čekat, než uživatel, který je fyzicky přítomen u systému, změní pořadí spouštění a použije funkci HTTPS Boot.

Kromě uplatnění níže uvedených řešení se zákazníci mohou dále chránit dodržováním doporučených postupů zabezpečení, kdy budou používat pouze zabezpečené sítě a zabrání neoprávněnému místnímu a fyzickému přístupu k zařízením. Zákazníci by také měli povolit funkce zabezpečení platformy, jako je Secure Boot (ve výchozím nastavení povoleno pro platformy Dell se systémem Windows) a heslo správce systému BIOS pro zvýšenou ochranu.

Poznámka: Pokud je funkce Secure Boot zakázána, může to mít vliv na potenciální závažnost související s chybou zabezpečení CVE-2021-21571.

Chyby CVE-2021-21573 a CVE-2021-21574 byly 28. května 2021 napraveny v komponentech souvisejících s funkcí BIOSConnect na backend serverech společnosti Dell a nevyžadují žádné další kroky zákazníka.

Chyby CVE-2021-21571 a CVE-2021-21572 vyžadují aktualizace klientského systému BIOS Dell, aby byly tyto chyby vyřešeny. V tabulce v části Další informace zjistíte, která verze opraveného klientského systému BIOS Dell je platná pro váš systém. Klientský systém BIOS Dell lze aktualizovat několika způsoby. Pokud k aktualizaci systému BIOS obvykle používáte funkci BIOSConnect, společnost Dell doporučuje použít k aktualizaci systému BIOS jiný způsob, například:

• Použít jedno z řešení pro oznámení společnosti Dell, abyste dostali upozornění a mohli si stáhnout aktualizace systému BIOS, jakmile budou k dispozici.
• Na stránce Ovladače a soubory ke stažení naleznete aktualizace příslušných produktů. Více informací najdete v článku databáze znalostí Dell Aktualizace systému BIOS společnosti Dell, kde si zároveň můžete stáhnout aktualizaci pro svůj počítač Dell.
• Flashování systému BIOS z jednorázové spouštěcí nabídky F12.

Pro ty, kteří nemohou okamžitě použít aktualizace systému BIOS, poskytla společnost Dell také dočasné zmírnění pro zakázání funkcí BIOSConnect a HTTPS Boot. Viz část níže.