Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Vulnerabilità delle self-encrypting drive (CVE-2018-12037 e CVE-2018-12038): procedura di mitigazione per i prodotti Dell Encryption.

Summary: Vulnerabilità delle unità SSD 395981: mitigazione delle preoccupazioni di vulnerabilità

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Prodotti interessati:

  • Dell Encryption Enterprise
  • Dell Encryption Personal
  • Dell Endpoint Security Suite
  • Dell Endpoint Security Suite Enterprise
  • Crittografia Dell - BitLocker Manager
  • Dell Encryption - Gestione unità autocrittografanti

Dell è a conoscenza delle segnalazioni di vulnerabilità nella crittografia hardware di determinate self-encrypting drive (SED) di tipo SSD, come descritto in Vulnerability Note VU# 395981 Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.. Stiamo esaminando il possibile impatto di queste vulnerabilità sui nostri prodotti e forniamo aggiornamenti quanto più rapidamente possibile. La nostra principale priorità è proteggere i clienti e garantire la sicurezza dei loro dati e dei loro computer.

La vulnerabilità descritta nella nota VU#395981 definisce le caratteristiche di una vulnerabilità che può consentire l'accesso a unità protette tramite implementazioni di BitLocker con accelerazione hardware, comunemente definite eDrive, nonché a molte unità SED.

Le unità gestite da BitLocker con crittografia con accelerazione hardware si basano sulla specifica eDrive, il che non significa necessariamente che siano self-encrypting drive (unità SED). La specifica eDrive richiede la conformità con IEEE 1667, che differisce dalla specifica OPAL2 di molte tecnologie di gestione delle self-encrypting drive.

I requisiti delle specifiche per eDrive (il nome Microsoft per BitLocker con accelerazione hardware) si trovano qui: https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-driveQuesto link ipertestuale indirizza a un sito web esterno a Dell Technologies..

Questa vulnerabilità interessa anche alcune unità autocrittografanti, molte delle quali rientrano nella specifica TCG OPAL e OPAL2 , definita qui: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies..

Questa vulnerabilità interessa i dischi stessi e non il software Dell Encryption e non tutte le unità sono interessate da questa vulnerabilità. Dell sta collaborando con i suoi fornitori per determinare l'impatto e garantire l'attuazione di piani di correzione per le unità interessate.

Cause

Non applicabile

Resolution

Mitigazione delle preoccupazioni di vulnerabilità con Dell Encryption

Per i clienti che utilizzano la soluzione Dell Self-Encrypting Drive Manager, Dell consiglia di aggiungere un ulteriore livello di sicurezza ai loro computer, utilizzando Dell Policy Based Encryption sui computer con unità identificate come potenzialmente vulnerabili fino a quando non sia disponibile un firmware aggiornato per questi dischi.

Sui dispositivi che eseguono Policy Based Encryption su un'unità SED è possibile abilitare la crittografia delle unità SED con la chiave System Data Encryption. Per ulteriori informazioni, fare riferimento a: Come abilitare la crittografia SDE per Dell Encryption Enterprise o Dell Encryption Personal sui sistemi con self-encrypting drive (in inglese).

In alternativa, è possibile sostituire la crittografia basata su hardware con una crittografia basata su software in BitLocker se è necessaria una soluzione di crittografia dell'intero volume.

Come disabilitare l'accelerazione basata su hardware per BitLocker con Dell Encryption

I clienti con BitLocker Manager di Dell che temono di essere vulnerabili ai problemi descritti in VU#395981 possono mitigare i rischi aggiornando le policy. La disabilitazione dei criteri tramite Il Dell Security Management Server per la crittografia basata su hardware per le unità fisse e lo stesso criterio per le unità del sistema operativo e rimovibili (ogni tipo di unità ha un criterio simile per utilizzare l'accelerazione hardware, se disponibile) disabilita la possibilità di sfruttare la crittografia con accelerazione hardware su queste unità. Se un'unità utilizzava eDrive o la crittografia con accelerazione hardware per la protezione, l'unità decrittografa e ricrittografa i dati con una metodologia basata su software.

Questi criteri sono basati su endpoint e si trovano all'interno del criterio crittografia BitLocker impostato all'interno della rispettiva categoria per il tipo di unità (volume del sistema operativo, volume di dati fisso, archiviazione rimovibile). Per ulteriori informazioni sulla modifica di una policy all'interno di Dell Security Management Server, consultare: Come modificare le policy in Dell Data Protection Server

Per i clienti che non eseguono Dell Data Security Management Server, le impostazioni per consentire la crittografia basata su hardware (se disponibile sulle unità) possono essere gestite utilizzando l'oggetto Criteri di gruppo (GPO) o le voci del Registro di sistema. Questi dati relativi ai GPO sono disponibili sul sito Microsoft nelle policy per:

Come stabilire se un endpoint può essere interessato dalla vulnerabilità?

Per coloro che desiderano individuare rapidamente se le unità possono essere vulnerabili, Dell è in grado di fornire DellOpalCheckerLite, un'utilità che può essere utilizzata utilizzando uno script per identificare le unità autocrittografanti e determinarne lo stato.

Nota: Questa utilità può essere fornita da Dell Data Security ProSupport tramite chat (solo Stati Uniti) o tramite telefono, disponibili ai link alla fine di questo articolo.

Il menu DellOpalCheckerLite può essere eseguito utilizzando la riga di comando. È necessario fornire il numero dell'unità relativa al disco che si desidera analizzare. Ad esempio, per analizzare il primo disco presentato al sistema operativo, che è in genere l'unità del sistema operativo, è possibile utilizzare la sintassi:

DellOpalCheckerLite.exe 0

Se sono presenti altri numeri di dischi, è possibile specificare righe aggiuntive in uno script per ottenere lo stato degli altri dischi del computer.

Per ogni istanza, il DellOpalCheckerLite viene eseguita, la variabile del computer ERRORLEVEL viene aggiornata e può essere chiamata per analizzare lo stato del disco.

Questo elenco contiene i valori di output ottenuti eseguendo il comando DellOpalCheckerLite:

SUPPORTED_NOT_OWNED 0 Il test indica un'installazione con esito positivo.
NOT_SUPPORTED 1 Il test indica che questo disco non è supportato.
SUPPORTED_OWNED 2 Il test indica che il disco è supportato, ma la AdminSP ha già un proprietario.
COMPATIBILITY_ERROR 3 Il test indica un problema di compatibilità.
NO_OPAL_DISK 4 Il test indica che non si tratta di un disco Opal.
LOCKINGSP_ACTIVE_NOT_OWNED 6 Il test indica che la LockingSP è attiva e che la AdminSP ha il SID = MSID (il test precedente potrebbe non essere riuscito).
LOCKINGSP_ACTIVE_OWNED_TESTSID 7 Il test indica che la LockingSP è attiva, ma che la AdminSP è già di proprietà del SID del test DellOpalChecker (il test precedente potrebbe non essere riuscito).
OTHER_ERROR 50 Altri errori non specificati
PARAMETER_ERROR 100 Parametro non valido
MUST_BE_ADMINISTRATOR 101 Per eseguire il test, il livello di esecuzione del programma deve essere Administrator.

Di seguito è riportato un esempio di output di un'unità OPAL supportata (return code ERRORLEVEL = 0).

Esempio di ERRORLEVEL = 0
Figura 1. (Solo in inglese) Esempio di ERRORLEVEL = 0

Nota: il client Dell Encryption Policy Based Encryption, il client Full Disk Encryption basato su software e Dell Data Guardian non sono esposti a questo tipo di vulnerabilità in quanto non utilizzano la crittografia con accelerazione hardware di queste unità.

Per ulteriori informazioni su questa vulnerabilità e le note di produttori specifici, consultare:

United States Computer Emergency Readiness Team: https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.

Samsung: https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/ Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.

Crucial: http://www.crucial.com/usa/en/support-ssd Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.

Ulteriori informazioni sulla vulnerabilità: https://www.kb.cert.org/vuls/id/395981/ Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.

Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.

Affected Products

Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000130689
Article Type: Solution
Last Modified: 04 Nov 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.