Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Vulnerabilidades de unidades com criptografia automática (CVE-2018-12037 e CVE-2018-12038): Etapas de redução para produtos Dell Encryption.

Summary: Preocupações com a redução da vulnerabilidade da unidade de estado sólido 395981.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Produtos afetados:

  • Dell Encryption Enterprise
  • Dell Encryption Personal
  • Dell Endpoint Security Suite
  • Dell Endpoint Security Suite Enterprise
  • Dell Encryption - BitLocker Manager
  • Dell Encryption - Gerenciamento de unidade com criptografia automática

A Dell está ciente das vulnerabilidades relatadas na criptografia de hardware de determinadas unidades de estado sólido com criptografia automática, conforme descrito na Nota de vulnerabilidade VU# 395981 Esse hiperlink direcionará você para um site fora da Dell Technologies.. Estamos investigando o possível impacto dessas vulnerabilidades em nossos produtos e forneceremos atualizações o mais rápido possível. A nossa principal prioridade é proteger os clientes e garantir a segurança de seus dados e computadores.

A vulnerabilidade descrita na nota VU#395981 define as características de uma vulnerabilidade que pode permitir o acesso a unidades protegidas por implementações do BitLocker aceleradas por hardware, geralmente chamadas de eDrive, juntamente com diversas SEDs.

As unidades gerenciadas pelo BitLocker com criptografia acelerada por hardware são baseadas na especificação de eDrive. Isso quer dizer que elas não são necessariamente Unidades com Criptografia Automática (SEDs). A especificação de eDrive requer conformidade com o IEEE 1667, sendo diferente da especificação de OPAL2 em muitas tecnologias de gerenciamento de unidades com criptografia automática.

Os requisitos de especificação do eDrive (o nome da Microsoft para o BitLocker acelerado por hardware) são encontrados aqui: https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-driveEsse hiperlink direcionará você para um site fora da Dell Technologies..

Essa vulnerabilidade também afeta algumas SEDs, muitas das quais se enquadram na especificação TCG OPAL e OPAL2, que é definida aqui: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/Esse hiperlink direcionará você para um site fora da Dell Technologies..

Essa vulnerabilidade afeta os próprios discos, mas não afeta o software Dell Encryption. Além disso, essa vulnerabilidade não afeta todas as unidades. A Dell está trabalhando com seus fornecedores para determinar o impacto e garantir que os planos de correção estejam em vigor para as unidades afetadas.

Cause

Não aplicável

Resolution

Reduzindo as preocupações com vulnerabilidade por meio do Dell Encryption

Para clientes que usam a solução Dell Self-Encrypting Drive Management, a Dell sugere adicionar uma camada extra de segurança a esses computadores. Isso é feito por meio da aplicação em camadas do Dell Policy Based Encryption em computadores com unidades que foram identificadas como possivelmente vulneráveis até que o firmware atualizado para esses discos esteja disponível.

Os dispositivos que executam o Policy Based Encryption em uma SED podem permitir a criptografia das SEDs com a chave de criptografia de dados do sistema. Para obter mais informações, consulte: Como habilitar a criptografia de SDEs do Dell Encryption Enterprise ou Dell Encryption Personal em sistemas que têm unidades com criptografia automática.

Como alternativa, a criptografia baseada em hardware poderá ser substituída como uma criptografia baseada em software do BitLocker se uma solução de criptografia de volume inteiro for necessária.

Como desativar a aceleração baseada em hardware do BitLocker com o Dell Encryption

Os clientes com o BitLocker Manager da Dell que acreditam estar vulneráveis aos problemas descritos em VU#395981 podem reduzir esses riscos atualizando as políticas. Desativar as políticas por meio do Dell Security Management Server of Use Hardware-Based Encryption for Fixed Data Drives e a mesma política para unidades de sistema operacional e unidades removíveis (cada tipo de unidade tem uma política semelhante para aproveitar a Aceleração de hardware, se disponível) desativa a capacidade de a criptografia acelerada por hardware ser aproveitada nessas unidades. Se uma unidade estiver aproveitando a proteção da criptografia acelerada por hardware ou eDrive, a unidade descriptografará e criptografará novamente os dados com uma metodologia baseada em software.

Essas políticas são baseadas em endpoint e estão localizadas dentro da política de criptografia do BitLocker definida na respectiva categoria para o tipo de unidade (volume do sistema operacional, volume de dados fixo, armazenamento removível). Para obter mais informações sobre como modificar uma política no Dell Security Management Server, consulte: Como modificar políticas no Dell Data Protection Server

Para clientes que não estão executando o Dell Data Security Management Server, as configurações para permitir a criptografia baseada em hardware (se estiver disponível em unidades) podem ser gerenciadas usando entradas do registro ou GPO. Esses dados para GPOs podem ser encontrados na seção de políticas do site da Microsoft:

Como posso verificar se um endpoint poderá ser afetado?

Para aqueles que desejam descobrir rapidamente se as unidades podem estar vulneráveis, a Dell pode fornecer o DellOpalCheckerLite, um utilitário que pode ser usado usando um script para identificar SEDs e determinar seu status.

Nota: Esse utilitário pode ser fornecido pelo Dell Data Security ProSupport usando o chat (somente nos EUA) ou por telefone, encontrado nos links na parte inferior deste artigo.

O switch DellOpalCheckerLite pode ser executada usando a linha de comando. Ele precisa do número da unidade do disco que será analisado. Por exemplo, para analisar o primeiro disco apresentado ao sistema operacional, que geralmente é a unidade do sistema operacional, você pode usar a sintaxe:

DellOpalCheckerLite.exe 0

Se houver outros números de disco, linhas adicionais poderão ser fornecidas em um script para gerar o status de outros discos no computador.

Para cada instância, o DellOpalCheckerLite é executada, a variável ERRORLEVEL do computador é atualizada e pode ser chamada para analisar o status do disco.

Esta lista contém os valores de saída da execução do DellOpalCheckerLite:

SUPPORTED_NOT_OWNED 0 O teste indica que a instalação pode ser bem-sucedida.
NOT_SUPPORTED 1 O teste indica que esse disco não é compatível.
SUPPORTED_OWNED 2 O teste indica que o disco é compatível, mas o AdminSP já é proprietário.
COMPATIBILITY_ERROR 3 O teste indica algum problema de compatibilidade.
NO_OPAL_DISK 4 O teste indica que não é um disco Opal.
LOCKINGSP_ACTIVE_NOT_OWNED 6 O teste indica que a SP de bloqueio está ativa e que AdminSP tem um SID == MSID (o teste anterior pode ter falhado).
LOCKINGSP_ACTIVE_OWNED_TESTSID 7 O teste indica que a SP de bloqueio está ativa e que AdminSP já é de propriedade do DellOpalChecker que está testando o SID (o teste anterior pode ter falhado).
OTHER_ERROR 50 Algum outro erro não especificado
PARAMETER_ERROR 100 Parâmetro inválido
MUST_BE_ADMINISTRATOR 101 O nível de execução do programa deve ser Administrador para realizar o teste.

Aqui está um exemplo de resultado de uma unidade que OPAL compatível (código de retorno ERRORLEVEL = 0).

Exemplo de ERRORLEVEL = 0
Figura 1: (Somente em inglês) Exemplo de ERRORLEVEL = 0

Nota: O client Dell Encryption Policy Based Encryption, o client Full Disk Encryption baseado em software e o Dell Data Guardian não estão expostos a esse tipo de vulnerabilidade, pois não usam a criptografia acelerada por hardware dessas unidades.

Para obter mais informações sobre essa vulnerabilidade e observações de fabricantes específicos, consulte:

Equipe de prontidão de emergência de computadores dos Estados Unidos: https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities Esse hiperlink direcionará você para um site fora da Dell Technologies.

Samsung: https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/ Esse hiperlink direcionará você para um site fora da Dell Technologies.

Crucial: http://www.crucial.com/usa/en/support-ssd Esse hiperlink direcionará você para um site fora da Dell Technologies.

Mais informações sobre a vulnerabilidade: https://www.kb.cert.org/vuls/id/395981/ Esse hiperlink direcionará você para um site fora da Dell Technologies.

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.

Affected Products

Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000130689
Article Type: Solution
Last Modified: 04 Nov 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.