Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Vulnérabilités des disques à autochiffrement (CVE-2018-12037 et CVE-2018-12038) : Étapes d'atténuation des risques pour les produits Dell Encryption.

Summary: Vulnérabilité du disque SSD 395981 : quelles sont les mesures d'atténuation.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Produits concernés :

  • Dell Encryption Enterprise
  • Dell Encryption Personal
  • Dell Endpoint Security Suite
  • Dell Endpoint Security Suite Enterprise
  • Dell Encryption - BitLocker Manager
  • Dell Encryption - Gestion des lecteurs à chiffrement automatique

Réponse de Dell aux vulnérabilités signalées dans le chiffrement matériel de certains disques SSD à autochiffrement, comme décrit dans la note de vulnérabilité VU# 395981Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.. Nous étudions l'impact potentiel de ces vulnérabilités sur nos produits et fournissons des mises à jour aussi rapidement que possible. Notre première priorité est de protéger les clients et de garantir la sécurité de leurs données et de leurs ordinateurs.

La vulnérabilité décrite dans la note VU#395981 définit les caractéristiques d'une vulnérabilité qui peut autoriser l'accès aux disques protégés par des implémentations BitLocker accélérées par le matériel, généralement référencées comme eDrive, ainsi que de nombreux SED.

Les disques gérés par BitLocker avec chiffrement accéléré par matériel sont basés sur la spécification eDrive, mais cela ne signifie pas nécessairement qu'il s'agit de disques à autochiffrement (SED). La spécification eDrive exige la conformité IEEE 1667, qui diffère de la spécification OPAL2 de nombreuses technologies de gestion des disques à autochiffrement.

Les spécifications requises pour eDrive (le nom Microsoft du BitLocker accéléré par le matériel) sont disponibles ici : https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-driveCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies..

Cette vulnérabilité affecte également certains SED, dont la plupart relèvent de la spécification TCG OPAL et OPAL2, qui est définie ici : https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies..

Cette vulnérabilité affecte les disques eux-mêmes et non le logiciel Dell Encryption, et tous les disques ne sont pas affectés par cette vulnérabilité. Dell collabore avec ses fournisseurs pour en déterminer l'impact et s'assurer que des plans de mesures correctives sont en place pour les disques concernés.

Cause

Sans objet

Resolution

Atténuation des problèmes de vulnérabilité avec Dell Encryption

Pour les clients qui utilisent la solution Dell Self-Encrypting Drive Management, Dell suggère d'ajouter une couche de sécurité supplémentaire à leurs ordinateurs. Cela consiste à superposer le chiffrement basé sur des règles Dell sur les ordinateurs dont les disques ont été identifiés comme potentiellement vulnérables jusqu'à ce qu'un firmware mis à jour pour ces disques soit disponible.

Les périphériques exécutant le chiffrement basé sur des règles sur un SED peuvent permettre de chiffrer les SED à l'aide de la clé de chiffrement des données système. Pour en savoir plus, consultez ces articles : Activation du chiffrement SDE pour Dell Encryption Enterprise ou Dell Encryption Personal sur les systèmes dotés de disques à autochiffrement.

Si une solution de chiffrement de volume entier est requise, le chiffrement matériel peut également être remplacé par un chiffrement logiciel basé sur BitLocker.

Désactivation de l'accélération matérielle pour BitLocker avec Dell Encryption

Les clients disposant de BitLocker Manager de Dell qui craignent d'être vulnérables aux problèmes décrits dans VU#395981 peuvent limiter les risques en mettant à jour leurs règles. La désactivation des règles via le Dell Security Management Server of Use Hardware-Based Encryption for Fixed Data Drives et la même règle pour les lecteurs du système d’exploitation et les lecteurs amovibles (chaque type de disque possède une règle similaire pour utiliser l’accélération matérielle, si disponible) désactive la possibilité d’utiliser le chiffrement accéléré par matériel sur ces disques. Si un disque utilisait eDrive ou le chiffrement accéléré par matériel pour la protection, il décrypte et recrypte les données à l'aide d'une méthodologie logicielle.

Ces règles sont basées sur des points de terminaison et se trouvent dans la règle de cryptage BitLocker définie dans la catégorie respective pour le type de disque (Volume du système d’exploitation, Volume de données fixes, Stockage amovible). Pour plus d'informations sur la modification d'une règle dans Dell Security Management Server, consultez l'article suivant : Comment modifier les règles de Dell Data Protection Server

Pour les clients qui n'exécutent pas Dell Data Security Management Server, les paramètres permettant le chiffrement matériel (s'il est disponible sur les disques) peuvent être gérés à l'aide d'entrées de GPO ou de registre. Ces données sont disponibles pour les GPO sur le site de Microsoft ici, sous les stratégies :

Comment puis-je déterminer si un point de terminaison peut être affecté ?

Pour ceux qui souhaitent rapidement déterminer si les disques durs peuvent être vulnérables, Dell peut fournir les DellOpalCheckerLite, un utilitaire qui peut être utilisé à l’aide d’un script pour identifier les SED et déterminer leur état.

Remarque : Cet utilitaire peut être fourni par Dell Data Security ProSupport via le tchat (États-Unis uniquement) ou par téléphone, accessible via les liens situés au bas de cet article.

Le raccourci clavier DellOpalCheckerLite peut être exécuté à l’aide de la ligne de commande. Il a besoin du numéro de lecteur du disque que l'on souhaite analyser. Par exemple, pour analyser le premier disque présenté au système d'exploitation, qui est généralement le lecteur du système d'exploitation, vous pouvez utiliser la syntaxe suivante :

DellOpalCheckerLite.exe 0

Si des numéros de lecteur supplémentaires sont présents, des lignes supplémentaires peuvent être fournies dans un script pour afficher l'état des autres disques de l'ordinateur.

Pour chaque instance, le DellOpalCheckerLite est exécuté, la variable d’ordinateur ERRORLEVEL est mise à jour et peut être appelée pour analyser l’état du disque.

Cette liste contient les valeurs de sortie de l’exécution de DellOpalCheckerLite:

SUPPORTED_NOT_OWNED 0 Le test indique que l'installation aurait réussi.
NOT_SUPPORTED 1 Le test indique que ce disque n'est pas pris en charge.
SUPPORTED_OWNED 2 Le test indique que le disque est pris en charge, mais que AdminSP est déjà assigné.
COMPATIBILITY_ERROR 3 Le test indique un problème de compatibilité.
NO_OPAL_DISK 4 Le test indique qu'il ne s'agit pas d'un disque Opal.
LOCKINGSP_ACTIVE_NOT_OWNED 6 Le test indique que le SP de verrouillage est actif, et que AdminSP a SID == MSID (le test précédent a peut-être échoué).
LOCKINGSP_ACTIVE_OWNED_TESTSID 7 Le test indique que le SP de verrouillage est actif, mais que AdminSP est déjà assigné au SID de test DellOpalChecker (le test précédent a peut-être échoué).
OTHER_ERROR 50 Autre erreur non spécifiée
PARAMETER_ERROR 100 Paramètre non valide
MUST_BE_ADMINISTRATOR 101 Le niveau d'exécution du programme doit être Administrateur pour effectuer le test.

Voici un exemple de sortie d'un disque OPAL pris en charge (code de retour ERRORLEVEL = 0).

Exemple d’ERREURLEVEL = 0
Figure 1 : (en anglais uniquement) Exemple avec ERRORLEVEL = 0

Remarque : Le client de chiffrement basé sur des règles Dell Encryption, le client de chiffrement complet du disque basé sur le logiciel et Dell Data Guardian ne sont pas exposés à ce type de vulnérabilité, car ils n'utilisent pas le chiffrement accéléré par le matériel de ces disques.

Pour plus d'informations sur cette vulnérabilité et pour obtenir les remarques de fabricants spécifiques, consultez :

United States Computer Emergency Readiness Team : https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

Samsung : https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/ Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

Crucial : http://www.crucial.com/usa/en/support-ssd Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

Informations supplémentaires sur la vulnérabilité : https://www.kb.cert.org/vuls/id/395981/ Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.

Affected Products

Dell Encryption, Dell Endpoint Security Suite Pro, Dell Endpoint Security Suite Enterprise
Article Properties
Article Number: 000130689
Article Type: Solution
Last Modified: 04 Nov 2024
Version:  10
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.