Skip to main content

Vulnerabilidades de unidades com criptografia automática (CVE-2018-12037 e CVE-2018-12038): Etapas de redução para produtos Dell Encryption

Summary: Vulnerabilidade da unidade de estado sólido 395981 quais são as preocupações com a mitigação.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Produtos afetados:

  • Dell Encryption Enterprise
  • Dell Encryption Personal
  • Dell Endpoint Security Suite
  • Dell Endpoint Security Suite Enterprise
  • Dell Encryption — BitLocker Manager
  • Dell Encryption: gerenciamento de unidades com criptografia automática

A Dell está ciente das vulnerabilidades relatadas na criptografia de hardware de determinadas unidades de estado sólido com criptografia automática, conforme descrito na Nota de vulnerabilidade VU# 395981 Esse hiperlink direcionará você para um site fora da Dell Technologies.. Estamos investigando o possível impacto dessas vulnerabilidades em nossos produtos e forneceremos atualizações o mais rápido possível. Nossa principal prioridade é proteger nossos clientes e garantir a segurança de seus dados e computadores.

A vulnerabilidade descrita na nota VU#395981 define as características de uma vulnerabilidade que pode permitir o acesso a unidades protegidas por implementações do BitLocker aceleradas por hardware, geralmente chamadas de eDrive, juntamente com diversas SEDs.

As unidades gerenciadas pelo BitLocker com criptografia acelerada por hardware são baseadas na especificação de eDrive , o que pode não significar necessariamente que são unidades com criptografia automática (SED) (a especificação de eDrive requer conformidade com IEEE 1667 , que difere da especificação OPAL2 de muitas tecnologias de gerenciamento de unidades com criptografia automática).

Os requisitos de especificação do eDrive (o nome da Microsoft para o BitLocker acelerado por hardware) são encontrados aqui: https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-drive Esse hiperlink direcionará você para um site fora da Dell Technologies.

Essa vulnerabilidade também afeta algumas SEDs, muitas das quais se enquadram nas especificações TCG OPAL e OPAL2 , definidas aqui: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/ Esse hiperlink direcionará você para um site fora da Dell Technologies.

Esta vulnerabilidade afeta os próprios discos e não o software Dell Encryption, e não afeta todas as unidades. A Dell está trabalhando com seus fornecedores para determinar o impacto e garantir que os planos de correção estejam em vigor para as unidades afetadas.

Reduzindo as preocupações com vulnerabilidade por meio do Dell Encryption

Para clientes que usam a solução Dell Self-Encrypting Drive Management, a Dell sugere adicionar uma camada extra de segurança a esses computadores. Os clientes devem colocar o Dell Policy Based Encryption em camadas em computadores com unidades que tenham sido identificadas como potencialmente vulneráveis até que o firmware atualizado para esses discos esteja disponível.

Os dispositivos que executam o Policy Based Encryption em uma SED podem permitir a criptografia das SEDs com a chave de criptografia de dados do sistema. Para obter mais informações, consulte: Como habilitar a criptografia de SDEs do Dell Encryption Enterprise ou Dell Encryption Personal em sistemas que têm unidades com criptografia automática.

Como alternativa, a criptografia baseada em hardware poderá ser substituída como uma criptografia baseada em software do BitLocker se uma solução de criptografia de volume inteiro for necessária.

Como desativar a aceleração baseada em hardware do BitLocker com o Dell Encryption

Os clientes com o BitLocker Manager da Dell que acreditam estar vulneráveis aos problemas descritos em VU#395981 podem reduzir esses riscos atualizando as políticas. A desativação das políticas por meio do Dell Security Management Server de Usar criptografia baseada em hardware para unidades fixas de dados e a mesma política para unidades do sistema operacional e unidades removíveis (cada tipo de unidade tem uma política semelhante para aproveitar a aceleração de hardware, se disponível) desabilita a capacidade da criptografia acelerada por hardware a ser aproveitada nessas unidades. Se uma unidade estiver aproveitando a proteção da criptografia acelerada por hardware ou eDrive, a unidade descriptografará e criptografará novamente os dados com uma metodologia baseada em software.

Essas políticas são baseadas em ponto de extremidade e estão localizadas dentro da política de criptografia do BitLocker definida na respectiva categoria para o tipo de unidade (volume do sistema operacional, volume de dados fixo, armazenamento removível). Para obter mais informações sobre como modificar uma política no Dell Security Management Server, consulte: Como modificar políticas no Dell Data Protection Server

Para clientes que não estão executando o Dell Data Security Management Server, as configurações para permitir a criptografia baseada em hardware (se estiver disponível em unidades) podem ser gerenciadas usando entradas do registro ou GPO. Esses dados para GPOs podem ser encontrados na seção de políticas do site da Microsoft:

Como posso verificar se um endpoint poderá ser afetado?

Para aqueles que desejam descobrir rapidamente se as unidades podem estar vulneráveis, a Dell pode fornecer o DellOpalCheckerLite, um utilitário que pode ser usado usando um script para identificar SEDs e determinar seu status.

Nota: O Dell Data Security ProSupport pode fornecer essa utilidade, por chat (somente nos EUA) ou por telefone, encontrado nos links na parte inferior deste artigo.

O comando DellOpalCheckerLite Pode ser executado usando a linha de comando. Ele precisa do número da unidade do disco que será analisado. Por exemplo, para analisar o primeiro disco apresentado ao sistema operacional, que geralmente é a unidade do sistema operacional, você pode usar a sintaxe:

DellOpalCheckerLite.exe 0

Se houver outros números de disco, linhas adicionais poderão ser fornecidas em um script para gerar o status de outros discos no computador.

Para cada instância, o DellOpalCheckerLite é executado, a variável de computador ERRORLEVEL é atualizada e pode ser chamada para analisar o status do disco.

Esta lista contém os valores de saída da execução do DellOpalCheckerLite:

SUPPORTED_NOT_OWNED 0 O teste indica que a instalação pode ser bem-sucedida.
NOT_SUPPORTED 1 O teste indica que esse disco não é compatível.
SUPPORTED_OWNED 2 O teste indica que o disco é compatível, mas o AdminSP já é proprietário.
COMPATIBILITY_ERROR 3 O teste indica algum problema de compatibilidade.
NO_OPAL_DISK 4 O teste indica que não é um disco Opal.
LOCKINGSP_ACTIVE_NOT_OWNED 6 O teste indica que a SP de bloqueio está ativa e que AdminSP tem um SID == MSID (o teste anterior pode ter falhado).
LOCKINGSP_ACTIVE_OWNED_TESTSID 7 O teste indica que a SP de bloqueio está ativa e que AdminSP já é de propriedade do DellOpalChecker que está testando o SID (o teste anterior pode ter falhado).
OTHER_ERROR 50 Algum outro erro não especificado
PARAMETER_ERROR 100 Parâmetro inválido
MUST_BE_ADMINISTRATOR 101 O nível de execução do programa deve ser Administrador para realizar o teste.

Aqui está um exemplo de resultado de uma unidade que OPAL compatível (código de retorno ERRORLEVEL = 0).

Exemplo de ERRORLEVEL = 0

Nota: O client Dell Encryption Policy Based Encryption, o client Full Disk Encryption baseado em software e o Dell Data Guardian não estão expostos a esse tipo de vulnerabilidade, pois não usam a criptografia acelerada por hardware dessas unidades.

Para obter mais informações sobre essa vulnerabilidade e observações de fabricantes específicos, consulte:

Equipe de prontidão de emergência de computadores dos Estados Unidos: https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities Esse hiperlink direcionará você para um site fora da Dell Technologies.

Samsung: https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/ Esse hiperlink direcionará você para um site fora da Dell Technologies.

Crucial: http://www.crucial.com/usa/en/support-ssd Esse hiperlink direcionará você para um site fora da Dell Technologies.

Mais informações sobre a vulnerabilidade: https://www.kb.cert.org/vuls/id/395981/ Esse hiperlink direcionará você para um site fora da Dell Technologies.


Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.

Affected Products

Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000130689
Article Type: How To
Last Modified: 03 Feb 2025
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.