Skip to main content

Vulnerabilità delle self-encrypting drive (CVE-2018-12037 e CVE-2018-12038): Procedure di mitigazione per i prodotti Dell Encryption

Summary: Unità SSD Vulnerabilità 395981 mitigazione dei problemi.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Prodotti interessati:

  • Dell Encryption Enterprise
  • Dell Encryption Personal
  • Dell Endpoint Security Suite
  • Dell Endpoint Security Suite Enterprise
  • Dell Encryption - BitLocker Manager
  • Dell Encryption - Gestione self-encrypting delle unità

Dell è a conoscenza delle segnalazioni di vulnerabilità nella crittografia hardware di determinate self-encrypting drive (SED) di tipo SSD, come descritto in Vulnerability Note VU# 395981 Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.. Stiamo esaminando il possibile impatto di queste vulnerabilità sui nostri prodotti e forniamo aggiornamenti quanto più rapidamente possibile. La nostra prima priorità è proteggere i nostri clienti e garantire la sicurezza dei loro dati e computer.

La vulnerabilità descritta nella nota VU#395981 definisce le caratteristiche di una vulnerabilità che può consentire l'accesso a unità protette tramite implementazioni di BitLocker con accelerazione hardware, comunemente definite eDrive, nonché a molte unità SED.

Le unità gestite da BitLocker con crittografia con accelerazione hardware si basano sulla specifica eDrive , il che potrebbe non significare necessariamente che siano self-encrypting drive (SED) (laspecifica eDrive richiede la conformità allo standard IEEE 1667 , che differisce dalla specifica OPAL2 di molte tecnologie di gestione delle self-encrypting drive).

I requisiti delle specifiche per eDrive (il nome Microsoft per BitLocker con accelerazione hardware) sono disponibili qui: https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-drive Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.

Questa vulnerabilità interessa anche alcune unità SED, molte delle quali rientrano nella specifica TCG OPAL e OPAL2 , definita qui: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/ Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.

Questa vulnerabilità interessa i dischi stessi e non il software Dell Encryption e non influisce su tutte le unità. Dell sta collaborando con i suoi fornitori per determinare l'impatto e garantire l'attuazione di piani di correzione per le unità interessate.

Mitigazione delle preoccupazioni di vulnerabilità con Dell Encryption

Per i clienti che utilizzano la soluzione Dell Self-Encrypting Drive Manager, Dell consiglia di aggiungere un ulteriore livello di sicurezza ai loro computer, Fino a quando non è disponibile il firmware aggiornato per questi dischi, i clienti devono applicare Dell Policy Based Encryption ai computer con unità identificate come potenzialmente vulnerabili.

Sui dispositivi che eseguono Policy Based Encryption su un'unità SED è possibile abilitare la crittografia delle unità SED con la chiave System Data Encryption. Per ulteriori informazioni, fare riferimento a: Come abilitare la crittografia SDE per Dell Encryption Enterprise o Dell Encryption Personal sui sistemi con self-encrypting drive (in inglese).

In alternativa, è possibile sostituire la crittografia basata su hardware con una crittografia basata su software in BitLocker se è necessaria una soluzione di crittografia dell'intero volume.

Come disabilitare l'accelerazione basata su hardware per BitLocker con Dell Encryption

I clienti con BitLocker Manager di Dell che temono di essere vulnerabili ai problemi descritti in VU#395981 possono mitigare i rischi aggiornando le policy. Se si disabilitano le policy tramite Dell Security Management Server of Use Hardware-Based Encryption for Fixed Data Drives, e la stessa policy per le unità del sistema operativo e le unità rimovibili (ogni tipo di unità dispone di una policy simile per sfruttare l'accelerazione hardware, se disponibile) si disabilita la possibilità di utilizzare la crittografia con accelerazione hardware su queste unità. Se un'unità utilizzava eDrive o la crittografia con accelerazione hardware per la protezione, l'unità decrittografa e ricrittografa i dati con una metodologia basata su software.

Queste policy sono policy basate sull'endpoint e si trovano all'interno del set di policy di crittografia BitLocker nella rispettiva categoria per il tipo di unità (volume del sistema operativo, volume di dati fisso, archiviazione rimovibile). Per ulteriori informazioni sulla modifica di una policy all'interno di Dell Security Management Server, consultare: Come modificare le policy in Dell Data Protection Server

Per i clienti che non eseguono Dell Data Security Management Server, le impostazioni per consentire la crittografia basata su hardware (se disponibile sulle unità) possono essere gestite utilizzando l'oggetto Criteri di gruppo (GPO) o le voci del Registro di sistema. Questi dati relativi ai GPO sono disponibili sul sito Microsoft nelle policy per:

Come stabilire se un endpoint può essere interessato dalla vulnerabilità?

Per coloro che desiderano individuare rapidamente se le unità potrebbero essere vulnerabili, Dell può fornire DellOpalCheckerLite, un'utilità che può essere utilizzata, utilizzando uno script, per identificare le SED e determinarne lo stato.

Nota: Dell Data Security ProSupport può fornire questa utilità, tramite chat (solo Stati Uniti) o per telefono, reperibili ai link in fondo a questo articolo.

Lo script DellOpalCheckerLite Può essere eseguito utilizzando la riga di comando. È necessario fornire il numero dell'unità relativa al disco che si desidera analizzare. Ad esempio, per analizzare il primo disco presentato al sistema operativo, che è in genere l'unità del sistema operativo, è possibile utilizzare la sintassi:

DellOpalCheckerLite.exe 0

Se sono presenti altri numeri di dischi, è possibile specificare righe aggiuntive in uno script per ottenere lo stato degli altri dischi del computer.

Per ogni istanza, il DellOpalCheckerLite viene eseguita, la variabile del computer ERRORLEVEL viene aggiornata e può essere chiamata per analizzare lo stato del disco.

Questo elenco contiene i valori di output dall'esecuzione di DellOpalCheckerLite:

SUPPORTED_NOT_OWNED 0 Il test indica un'installazione con esito positivo.
NOT_SUPPORTED 1 Il test indica che questo disco non è supportato.
SUPPORTED_OWNED 2 Il test indica che il disco è supportato, ma la AdminSP ha già un proprietario.
COMPATIBILITY_ERROR 3 Il test indica un problema di compatibilità.
NO_OPAL_DISK 4 Il test indica che non si tratta di un disco Opal.
LOCKINGSP_ACTIVE_NOT_OWNED 6 Il test indica che la LockingSP è attiva e che la AdminSP ha il SID = MSID (il test precedente potrebbe non essere riuscito).
LOCKINGSP_ACTIVE_OWNED_TESTSID 7 Il test indica che la LockingSP è attiva, ma che la AdminSP è già di proprietà del SID del test DellOpalChecker (il test precedente potrebbe non essere riuscito).
OTHER_ERROR 50 Altri errori non specificati
PARAMETER_ERROR 100 Parametro non valido
MUST_BE_ADMINISTRATOR 101 Per eseguire il test, il livello di esecuzione del programma deve essere Administrator.

Di seguito è riportato un esempio di output di un'unità OPAL supportata (return code ERRORLEVEL = 0).

Esempio di ERRORLEVEL = 0

Nota: il client Dell Encryption Policy Based Encryption, il client Full Disk Encryption basato su software e Dell Data Guardian non sono esposti a questo tipo di vulnerabilità in quanto non utilizzano la crittografia con accelerazione hardware di queste unità.

Per ulteriori informazioni su questa vulnerabilità e le note di produttori specifici, consultare:

United States Computer Emergency Readiness Team: https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.

Samsung: https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/ Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.

Crucial: http://www.crucial.com/usa/en/support-ssd Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.

Ulteriori informazioni sulla vulnerabilità: https://www.kb.cert.org/vuls/id/395981/ Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.


Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.

Affected Products

Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000130689
Article Type: How To
Last Modified: 03 Feb 2025
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.