Sicherheitslücken bei selbstverschlüsselnden Laufwerken (CVE-2018-12037 und CVE-2018-12038): Problembekämpfung für Dell Encryption-Produkte.
Summary: Sicherheitslücke 395981 bei Solid-State-Laufwerken – welche Bedenken gibt es bei der Problemlösung?
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Betroffene Produkte:
- Dell Encryption Enterprise
- Dell Encryption Personal
- Dell Endpoint Security Suite
- Dell Endpoint Security Suite Enterprise
- Dell Encryption – BitLocker Manager
- Dell Encryption – Selbstverschlüsselnde Laufwerksverwaltung
Dell sind gemeldete Sicherheitslücken bei der Hardwareverschlüsselung bestimmter selbstverschlüsselnder Solid-State-Laufwerke bekannt, wie im Sicherheitslückenhinweis VU# 395981 
Die in Hinweis VU#395981 beschriebene Sicherheitslücke definiert Merkmale einer Schwachstelle, die den Zugriff auf Laufwerke ermöglichen kann, die durch hardwarebeschleunigte BitLocker-Implementierungen geschützt sind, die häufig als eDrive bezeichnet werden, zusammen mit vielen SEDs.
Laufwerke, die von BitLocker mit hardwarebeschleunigter Verschlüsselung gemanagt werden, basieren auf der eDrive-Spezifikation, was möglicherweise nicht unbedingt bedeutet, dass sie selbstverschlüsselnde Laufwerke (Self-Encrypting Drives, SEDs) sind. Die eDrive-Spezifikation erfordert IEEE 1667-Compliance, die sich von der OPAL2-Spezifikation vieler selbstverschlüsselnder Laufwerksmanagementtechnologien unterscheidet.
Die Spezifikationsanforderungen für eDrive (der Microsoft-Name für hardware-beschleunigtes BitLocker) finden Sie hier: https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-drive
Diese Sicherheitslücke betrifft auch einige SEDs, von denen viele unter die TCG OPAL- und OPAL2-Spezifikation fallen, die hier definiert ist: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/
Diese Sicherheitslücke betrifft die Festplatten selbst und nicht die Dell Encryption-Software und nicht alle Laufwerke sind von dieser Sicherheitslücke betroffen. Dell arbeitet mit seinen Anbietern zusammen, um die Auswirkungen zu ermitteln und sicherzustellen, dass Korrekturpläne für betroffene Laufwerke vorhanden sind.
Cause
Nicht zutreffend
Resolution
Abschwächen von Sicherheitslücken mit Dell Encryption
Für Kunden, die die Dell Self-Encrypting Drive Management-Lösung verwenden, empfiehlt Dell, ihren Computern eine zusätzliche Sicherheitsebene hinzuzufügen. Dies geschieht durch die Schichtung der Policy-basierten Verschlüsselung von Dell auf Computern mit Laufwerken, die als potenziell anfällig identifiziert wurden, bis eine aktualisierte Firmware für diese Festplatten verfügbar ist.
Geräte, auf denen Policy-basierte Verschlüsselung auf einem SED ausgeführt wird, können die SEDs mit dem Systemdatenverschlüsselungsschlüssel verschlüsseln. Weitere Informationen finden Sie unter: So aktivieren Sie die SED-Verschlüsselung für Dell Encryption Enterprise oder Dell Encryption Personal auf Systemen mit selbstverschlüsselnden Festplatten.
Alternativ kann die hardwarebasierte Verschlüsselung als softwarebasierte Verschlüsselung von BitLocker ersetzt werden, wenn eine Verschlüsselungslösung für das vollständige Volume erforderlich ist.
Deaktivieren der hardwarebasierten Beschleunigung für BitLocker mit Dell Encryption
Kunden mit BitLocker Manager von Dell, die besorgt sind, dass sie anfällig für die in VU#395981 beschriebenen Probleme sind, können das Risiko durch das Update ihrer Policys minimieren. Das Deaktivieren der Richtlinien über den Dell Security Management Server für die Verwendung hardwarebasierter Verschlüsselung für Festplattendatenlaufwerke und die gleiche Richtlinie für Betriebssystemlaufwerke und Wechseldatenträger (jeder Laufwerkstyp verfügt über eine ähnliche Richtlinie zur Nutzung der Hardwarebeschleunigung, falls verfügbar), deaktiviert die Möglichkeit, die hardwarebeschleunigte Verschlüsselung auf diesen Laufwerken zu nutzen. Wenn ein Laufwerk eDrive oder hardwarebeschleunigte Verschlüsselung zum Schutz genutzt hat, entschlüsselt und verschlüsselt das Laufwerk die Daten mit einer softwarebasierten Methode erneut.
Diese Richtlinien sind endpunktbasierte Richtlinien und befinden sich innerhalb der BitLocker-Verschlüsselungsrichtlinie , die in der jeweiligen Kategorie für den Laufwerkstyp (Betriebssystem-Volume, Festes Datenvolume, Wechselspeichermedium) festgelegt ist. Weitere Informationen zum Ändern einer Policy im Dell Security Management Server finden Sie unter: So ändern Sie Richtlinien auf dem Dell Data Protection Server
Kunden, die den Dell Data Security Management Server nicht ausführen, können die Einstellungen für die Hardware-basierte Verschlüsselung (falls auf Laufwerken verfügbar) mithilfe von Gruppenpolicy- oder Registrierungseinträgen managen. Diese Daten finden Sie für Gruppenpolicys auf der Website von Microsoft unter den Policys für:
- https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hdefxdaconfigure-use-of-hardware-based-encryption-for-fixed-data-drives
- https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hdeosdaconfigure-use-of-hardware-based-encryption-for-operating-system-drives
- https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#a-href-idbkmk-hderddaconfigure-use-of-hardware-based-encryption-for-removable-data-drives
Wie kann ich feststellen, ob ein Endpunkt betroffen ist?
Für diejenigen, die schnell feststellen möchten, ob Laufwerke anfällig sind, kann Dell die DellOpalCheckerLite, ein Dienstprogramm, das verwendet werden kann, mithilfe eines Skripts, um SEDs zu identifizieren und ihren Status zu bestimmen.
Hinweis: Dieses Dienstprogramm kann vom Dell Data Security ProSupport im Chat (nur USA) oder telefonisch unter den Links am Ende dieses Artikels bereitgestellt werden.
Der DellOpalCheckerLite kann über die Befehlszeile ausgeführt werden. Es benötigt die Laufwerksnummer für die Festplatte, die analysiert werden soll. Um beispielsweise die erste Festplatte zu analysieren, die dem Betriebssystem angezeigt wird, was üblicherweise das Betriebssystemlaufwerk ist, können Sie die folgende Syntax verwenden:
DellOpalCheckerLite.exe 0
Wenn zusätzliche Festplattennummern vorhanden sind, können zusätzliche Zeilen in einem Skript angegeben werden, um den Status für andere Festplatten im Computer auszugeben.
Für jede Instanz DellOpalCheckerLite wird ausgeführt, die Computervariable ERRORLEVEL wird aktualisiert und kann aufgerufen werden, um den Status der Festplatte zu analysieren.
Diese Liste enthält die Ausgabewerte aus der Ausführung von DellOpalCheckerLite:
| SUPPORTED_NOT_OWNED | 0 | Der Test weist darauf hin, dass die Installation erfolgreich wäre. |
| NOT_SUPPORTED | 1 | Der Test zeigt an, dass diese Festplatte nicht unterstützt wird. |
| SUPPORTED_OWNED | 2 | Der Test zeigt an, dass die Festplatte unterstützt wird, aber AdminSP bereits im Besitz vorhanden ist. |
| COMPATIBILITY_ERROR | 3 | Der Test weist auf ein Kompatibilitätsproblem hin. |
| NO_OPAL_DISK | 4 | Der Test zeigt an, dass es sich nicht um eine Opal-Festplatte handelt. |
| LOCKINGSP_ACTIVE_NOT_OWNED | 6 | Der Test weist darauf hin, dass das Sperren von SP aktiv ist, und AdminSP hat SID == MSID (vorheriger Test ist möglicherweise fehlgeschlagen). |
| LOCKINGSP_ACTIVE_OWNED_TESTSID | 7 | Der Test weist darauf hin, dass das Sperren von SP aktiv ist, aber AdminSP bereits im Besitz der von DellOpalChecker getesteten SID vorhanden ist (vorheriger Test ist möglicherweise fehlgeschlagen). |
| OTHER_ERROR | 50 | Ein anderer nicht spezifizierte Fehler |
| PARAMETER_ERROR | 100 | Ungültiger Parameter |
| MUST_BE_ADMINISTRATOR | 101 | Die Programmausführungsstufe muss „Administrator“ sein, um den Test durchführen zu können. |
Hier ist eine Beispielausgabe eines Laufwerks, das OPAL ist und unterstützt wird (Rückgabecode ERRORLEVEL = 0).
Abbildung 1: (Nur in englischer Sprache) Beispiel für ERRORLEVEL = 0
Hinweis: Der Dell Encryption Policy Based Encryption Client, der softwarebasierte Client für die vollständige Datenträgerverschlüsselung und Dell Data Guardian sind dieser Art von Sicherheitslücke nicht ausgesetzt, da sie die hardwarebeschleunigte Verschlüsselung dieser Laufwerke nicht einsetzen.
Weitere Informationen zu dieser Sicherheitslücke und Hinweise von bestimmten Herstellern finden Sie unter:
United States Computer Emergency Readiness Team: https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities
Samsung: https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/
Crucial: http://www.crucial.com/usa/en/support-ssd
Weitere Informationen zu dieser Sicherheitslücke: https://www.kb.cert.org/vuls/id/395981/
Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.
Affected Products
Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite EnterpriseArticle Properties
Article Number: 000130689
Article Type: Solution
Last Modified: 04 Nov 2024
Version: 10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.