Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Dell Financial Services Partner Program Sign In
Contact Us

Your Dell.com Carts

Vulnerabilidades de unidades de autocifrado (CVE-2018-12037 y CVE-2018-12038): Pasos de mitigación para los productos Dell Encryption

Summary: Vulnerabilidad de la unidad de estado sólido 395981 cuáles son los problemas de mitigación.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Productos afectados:

  • Dell Encryption Enterprise
  • Dell Encryption Personal
  • Dell Endpoint Security Suite
  • Dell Endpoint Security Suite Enterprise
  • Dell Encryption: BitLocker Manager
  • Dell Encryption: administración de unidades de autocifrado

Dell está al tanto de los informes de vulnerabilidades en el cifrado de hardware de ciertas unidades de estado sólido con autocifrado, como se describe en nota de vulnerabilidad VU# 395981Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.. Estamos investigando el posible impacto de estas vulnerabilidades en nuestros productos y proporcionamos actualizaciones lo más rápido posible. Nuestra primera prioridad es proteger a nuestros clientes y garantizar la seguridad de sus datos y computadoras.

La vulnerabilidad que se describe en la nota VU#395981 define las características de una vulnerabilidad que puede permitir el acceso a unidades protegidas por implementaciones de BitLocker aceleradas por hardware, a las que se hace referencia comúnmente como eDrive, junto con muchas SED.

Las unidades administradas por BitLocker con cifrado acelerado por hardware se basan en la especificación de eDrive , lo que puede no significar necesariamente que sean unidades de autocifrado (SED) (la especificación de eDrive requiere el cumplimiento de IEEE 1667 , que difiere de la especificación OPAL2 de muchas tecnologías de administración de unidades de autocifrado).

Los requisitos de especificación para eDrive (el nombre de Microsoft para BitLocker acelerado por hardware) se encuentran aquí: https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-drive Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.

Esta vulnerabilidad también afecta a algunas SED, muchas de las cuales entran dentro de las especificaciones OPAL y OPAL2 de TCG, que se definen aquí: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/ Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.

Esta vulnerabilidad afecta a los discos en sí y no al software Dell Encryption, y no afecta a todas las unidades. Dell está trabajando con sus proveedores para determinar el impacto y garantizar que se implementaron planes de corrección para las unidades afectadas.

Mitigación de las preocupaciones de vulnerabilidad con Dell Encryption

Para los clientes que utilizan la solución Dell Self-Encrypting Drive Management, Dell sugiere agregar una capa adicional de seguridad a sus computadoras. Los clientes deben colocar el cifrado basado en políticas de Dell en computadoras con unidades que se hayan identificado como potencialmente vulnerables hasta que esté disponible el firmware actualizado para estos discos.

Los dispositivos que ejecutan el cifrado basado en políticas en una SED pueden habilitar la capacidad de cifrar las SED con la clave de cifrado de datos del sistema. Para obtener más información, consulte: Cómo habilitar SDE Encryption para Dell Encryption Enterprise o Dell Encryption Personal en sistemas con unidades de autocifrado.

Como alternativa, el cifrado basado en hardware se podría reemplazar como cifrado basado en software desde BitLocker si se requiere una solución de cifrado de volumen completo.

Cómo deshabilitar la aceleración basada en hardware para BitLocker con Dell Encryption

Los clientes con BitLocker Manager de Dell a quienes les preocupa que puedan ser vulnerables a los problemas descritos en VU#395981 pueden mitigar el riesgo mediante la actualización de sus políticas. La deshabilitación de las políticas mediante el servidor de administración de seguridad de Dell de uso cifrado basado en hardware para unidades de datos fijas y la misma política para las unidades del sistema operativo y las unidades extraíbles (cada tipo de unidad tiene una política similar para aprovechar la aceleración de hardware, si está disponible) deshabilita la capacidad de aprovechar el cifrado acelerado por hardware en estas unidades. Si una unidad había estado aprovechando el cifrado acelerado por hardware o eDrive para la protección, la unidad descifra y vuelve a cifrar los datos mediante una metodología basada en software.

Estas políticas son políticas basadas en terminales y se encuentran dentro de la política de cifrado de BitLocker configurada dentro de la categoría respectiva para el tipo de unidad (Volumen del sistema operativo, Volumen de datos fijos, Almacenamiento extraíble). Para obtener más información sobre la modificación de una política en Dell Security Management Server, consulte: Cómo modificar políticas en Dell Data Protection Server

Para los clientes que no ejecutan Dell Data Security Management Server, la configuración a fin de permitir el cifrado basado en hardware (si está disponible en unidades) se puede administrar mediante entradas de registro o GPO. Estos datos se pueden encontrar para los GPO en el sitio de Microsoft aquí, en las políticas de:

¿Cómo puedo determinar si una terminal puede verse afectada?

Para aquellos que desean descubrir rápidamente si las unidades pueden ser vulnerables, Dell puede proporcionar la DellOpalCheckerLite, una utilidad que se puede utilizar mediante un script para identificar SED y determinar su estado.

Nota: Dell Data Security ProSupport puede proporcionar esta utilidad mediante chat (solo en EE. UU.) o por teléfono, que se encuentra en los enlaces que se encuentran en la parte inferior de este artículo.

El comando DellOpalCheckerLite Se puede ejecutar mediante la línea de comandos. Necesita el número de unidad para el disco que uno desea analizar. Por ejemplo, para analizar el primer disco que se presenta al sistema operativo, que es comúnmente la unidad del sistema operativo, puede utilizar la sintaxis:

DellOpalCheckerLite.exe 0

Si hay números de disco adicionales, se pueden proporcionar líneas adicionales en un script para generar el estado de otros discos en la computadora.

Para cada instancia, el DellOpalCheckerLite se ejecuta, la variable informática ERRORLEVEL se actualiza y se puede llamar para analizar el estado del disco.

Esta lista contiene los valores de salida de la ejecución del comando DellOpalCheckerLite:

SUPPORTED_NOT_OWNED 0 La prueba indica que la instalación tendrá éxito.
NOT_SUPPORTED 1 La prueba indica que este disco no es soportado.
SUPPORTED_OWNED 2 La prueba indica que el disco es soportado, pero ya se posee AdminSP.
COMPATIBILITY_ERROR 3 La prueba indica algún problema de compatibilidad.
NO_OPAL_DISK 4 La prueba indica que no se trata de un disco Opal.
LOCKINGSP_ACTIVE_NOT_OWNED 6 La prueba indica que el SP de bloqueo está activo y el AdminSP tiene SID == MSID (es posible que la prueba anterior haya fallado).
LOCKINGSP_ACTIVE_OWNED_TESTSID 7 La prueba indica que el SP está en bloqueo activo, pero AdminSP ya es propiedad del SID de prueba de DellOpalChecker (es posible que la prueba anterior haya fallado).
OTHER_ERROR 50 Otro error no especificado
PARAMETER_ERROR 100 Parámetro no válido
MUST_BE_ADMINISTRATOR 101 El nivel de ejecución del programa debe ser Administrator para realizar la prueba.

Este es un ejemplo de salida de una unidad que es OPAL y es soportada (código de retorno ERRORLEVEL = 0).

Ejemplo de ERRORLEVEL = 0

Nota: El cliente del cifrado basado en políticas de Dell Encryption, el cliente de cifrado de disco completo basado en software y Dell Data Guardian no están expuestos a este tipo de vulnerabilidad, ya que no utilizan el cifrado acelerado por hardware de estas unidades.

Para obtener más información sobre esta vulnerabilidad y las notas de fabricantes específicos, consulte:

Equipo de preparación para emergencia informática de los Estados Unidos: https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.

Samsung: https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/ Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.

Crucial: http://www.crucial.com/usa/en/support-ssd Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.

Más información sobre la vulnerabilidad: https://www.kb.cert.org/vuls/id/395981/ Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.

Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.

Affected Products

Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000130689
Article Type: How To
Last Modified: 03 Feb 2025
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.