Informazioni aggiuntive inerenti a DSA-2021-152: Aggiornamento di sicurezza della piattaforma client Dell per una vulnerabilità di controllo degli accessi insufficiente nel driver DBUtilDrv2.sys Dell

Domande frequenti:

D: In che modo questa vulnerabilità differisce dalla vulnerabilità DButil precedente, risolta in DSA-2021-088?
R: DSA-2021-088 risolve una vulnerabilità nel driver dbutil_2_3.sys (CVE-2021-21551). DSA-2021-152 risolve una vulnerabilità nelle versioni 2.5 e 2.6 del driver DBUtilDrv2.sys (CVE-2021-36276).

D: Questa vulnerabilità influisce su tutti gli stessi prodotti interessati da DSA-2021-088?
R: No, i prodotti che hanno raggiunto l'EOSL al momento della pubblicazione di DSA-2021-088 non sono interessati da questa vulnerabilità nel driver DBUtilDrv2.sys. Tuttavia, tutte le piattaforme Dell supportate identificate nella Tabella A di DSA-2021-088 sono probabilmente interessate da questa vulnerabilità, perché la raccomandazione in DSA-2021-088 era quella di applicare questo driver DBUtilDrv2.sys come correzione. Da allora, sei (6) piattaforme supportate al momento della pubblicazione di DSA-2021-088 hanno raggiunto l'EOSL e sono ora elencate nella Tabella B di DSA-2021-152.

D: "DBUtil Removal Utility" individua e corregge i problemi delle versioni 2.5 e 2.6 del driver DBUtilDrv2.sys, nonché delle versioni precedenti del driver dbutil_2_3.sys descritte in DSA-2021-088? Oppure è necessario eseguire separatamente "DBUtil Removal Utility" e l'utilità "Dell Security Advisory Update - DSA-2021-088"?
R: Sì, "DBUtil Removal Utility" individua e corregge i problemi di tutte le versioni dei driver DBUtilDrv2.sys e dbutil_2_3.sys come descritto in DSA-2021-088 e DSA-2021-152. Non è necessario eseguire separatamente la versione precedente di questa utilità.

D: Come faccio a sapere se il problema mi riguarda?
R: Il problema riguarda l'utente se:

• ha applicato un aggiornamento del firmware del BIOS, Thunderbolt, TPM o dock al sistema
• utilizza o ha utilizzato Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent, Dell Platform Tags, Dell BIOS Flash Utility o Dell SupportAssist per PC (privati e aziendali)

In alternativa, se si esegue manualmente l'utilità come descritto nel passaggio 2.2.2, opzione A, dell'articolo Dell Security Advisory DSA-2021-152, l'utilità indicherà se le versioni 2.5 o 2.6 interessate del driver DBUtilDrv2.sys sono state trovate e corrette sul sistema. Per visualizzare un elenco delle piattaforme con pacchetti di utilità di aggiornamento del firmware e strumenti software interessati, oppure per ulteriori informazioni su questa vulnerabilità e su come attenuarla, consultare l'articolo Dell Security Advisory DSA-2021-152

D: Utilizzo un sistema operativo Linux. Questo problema mi riguarda?
R: No. Questa vulnerabilità è applicabile solo quando si eseguono sistemi operativi Windows su una piattaforma Dell interessata.

D: Qual è la soluzione? Come è possibile risolvere questa vulnerabilità?
R: Tutti i clienti devono eseguire la procedura definita nella sezione "2. Procedure di correzione" dell'articolo Dell Security Advisory DSA-2021-152.

D: Perché ci sono più passaggi nella sezione "2. Procedure di correzione" dell'articolo Dell Security Advisory DSA-2021-152?
R: I passaggi 2.1 e 2.2 riguardano la correzione immediata di questa vulnerabilità. Il passaggio 2.3 illustra come ottenere un driver corretto (DBUtilDrv2.sys, versione 2.7) durante il successivo aggiornamento pianificato del firmware. Per ogni passaggio, Dell offre diverse opzioni ed è opportuno scegliere quella più adatta alle circostanze.

D: Non ho mai aggiornato il firmware, utilizzato Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent o Dell Platform Tags, Dell BIOS Flash Utility, SupportAssist per PC (privati e aziendali) e ricevo gli aggiornamenti del BIOS solo tramite Windows Update. Il problema mi riguarda?
R: No. Windows Update non installa il driver DBUtilDrv2.sys interessato (versioni 2.5 e 2.6). 

D: Non sono sicuro se il problema mi riguarda. Posso fare qualcosa affinché il mio computer non sia vulnerabile?
R: Sì, è necessario eseguire la procedura definita nelle sezioni 2.2 e 2.3 dell'articolo Dell Security Advisory DSA-2021-152.

D: "DBUtil Removal Utility"
 verrà distribuita tramite Dell Command | Update, Dell Update, Alienware Update o SupportAssist?
R: Sì. Fare riferimento alla sezione 2.2.2 dell'articolo Dell Security Advisory Update - DSA-2021-152. Tuttavia, i clienti devono eseguire tutti i passaggi definiti nella sezione "2. Procedure di correzione", in base al proprio ambiente.

D: Ho eseguito "DBUtil Removal Utility" sul sistema per rimuovere la versione 2.5 o 2.6 del driver DBUtilDrv2.sys e, dopo aver riavviato il sistema, viene comunque visualizzata la versione del driver DBUtilDrv2.sys sul sistema. Perché?
R: Se:

1. Non sono stati aggiornati tutti i prodotti interessati elencati al passaggio 2.2.1 della sezione "Procedure di correzione" prima di rimuovere la versione 2.5 o 2.6 del driver DBUtilDrv2.sys oppure
2. È stata eseguita un'utilità di aggiornamento del firmware interessato dopo aver rimosso il driver,

D: Dopo l'applicazione di una delle opzioni del passaggio 2.2.2 dell'articolo Dell Security Advisory DSA-2021-152, non riesco a rimuovere la versione 2.5 o 2.6 del driver DBUtilDrv2.sys, cosa devo fare?
R: Se:

1. Non sono stati aggiornati tutti i prodotti interessati elencati al passaggio 2.2.1 della sezione "Procedure di correzione" prima di rimuovere la versione 2.5 o 2.6 del driver DBUtilDrv2.sys oppure
2. È stata eseguita un'utilità di aggiornamento del firmware interessato dopo aver rimosso il driver,

D: L'esecuzione di "DBUtil Removal Utility" determina l'installazione di un driver corretto?
R: No. La versione corretta del driver verrà installata sul sistema alla successiva applicazione di un aggiornamento del BIOS, del firmware Thunderbolt, TPM o del dock al sistema; in alternativa eseguire una versione corretta di Dell Command Update, Dell Update, Alienware Update, Dell System Inventory Agent, Dell Platform Tags, Dell BIOS Flash Utility o SupportAssist per PC (privati e aziendali).

D: In che modo è possibile ottenere la versione corretta del driver?
R: La versione corretta (2.7) del driver DBUtilDrv2.sys verrà installata sul sistema alla successiva applicazione di un aggiornamento del BIOS, del firmware Thunderbolt, TPM o del dock al sistema; in alternativa, eseguire una versione corretta di Dell Command | Update, Dell Update, Alienware Update, Dell System Inventory Agent, Dell Platform Tags, Dell BIOS Flash Utility o SupportAssist per PC (privati e aziendali).

D: È possibile rimuovere manualmente la versione 2.5 o 2.6 del driver DBUtilDrv2.sys?
R: Sì, seguire le indicazioni del passaggio 2.2.1 (come applicabile) e del passaggio 2.2.2, opzione C, dell'articolo Dell Security Advisory DSA-2021-152.

D: Se desidero rimuovere manualmente i file del driver vulnerabile, come faccio a sapere se sto rimuovendo il file corretto?
R: Utilizzare i seguenti valori del checksum SHA-256 per verificare se si sta rimuovendo il file corretto:

• DBUtilDrv2 (v2.5)

• DBUtilDrv2 (v2.6)

D: La rimozione della versione 2.5 o 2.6 del driver DBUtilDrv2.sys causa problemi di interoperabilità con altri componenti hardware o software?
R: No. Il driver DBUtilDrv2.sys è uno utility driver utilizzato nei pacchetti di utilità di aggiornamento del firmware Dell Command | Update, Dell Update, Alienware Update, Dell System Inventory Agent, Dell Platform Tags, Dell BIOS Flash Utility o Dell SupportAssist per PC (privati e aziendali) per aggiornare i driver, il BIOS e il firmware del PC. Non viene utilizzato da altri componenti hardware o software.

D: Sono un cliente enterprise, cosa devo fare?
R: Eseguire le procedure di correzione indicate nella sezione "2. Procedure di correzione" dell'articolo Dell Security Advisory DSA-2021-152. Siamo consapevoli del fatto che esistano diverse configurazioni e scenari di infrastruttura con livelli di complessità variabili. In caso di domande o per assistenza, contattare il proprio account Dell e/o responsabile del servizio di assistenza.

La procedura riportata di seguito illustra come un cliente enterprise può implementare "DBUtil Removal Utility" in tutto l'ambiente per completare il passaggio 2.2.2 al fine di rimuovere la versione 2.5 o 2.6 del driver DBUtilDrv2.sys.sys da più sistemi.

1. Effettuare il seguente controllo pre-implementazione.

• Aggiornare i prodotti interessati implementati nell'azienda. Consultare la sezione "2. Procedure di correzione" dell'articolo Dell Security Advisory DSA-2021-152 per aggiornare Dell Command | Update, Dell Update, Alienware Update, Dell System Inventory Agent, Dell Platform Tags, Dell BIOS Flash Utility o SupportAssist per PC (privati e aziendali).

Nota: questa fase pre-implementazione impedisce il blocco delle istanze dei file del driver DBUtilDrv2.sys durante l'utilizzo di "DBUtil Removal Utility" o la sua successiva reintroduzione dopo l'esecuzione dell'utilità.

2. Seguire la procedura riportata di seguito per rimuovere i file del driver DBUtilDrv2.sys interessati dall'ambiente tramite l'elemento di configurazione di Microsoft Endpoint Configuration Manager (MECM).

• Impostare l'elemento di configurazione per eseguire uno script PowerShell.
  • Fattori quali dimensione/utilizzo del disco e tipo del disco, potrebbero fare sì che la scansione dell'intera unità disco generi timeout o errori. È consigliabile sottoporre a scansione almeno le seguenti directory in cui i file sono in genere memorizzati. Se si sceglie di procedere in questo modo, aggiornare le variabili rilevanti, ad esempio "%windir%\temp" e "%localappdata%\temp".
  • Nello script PowerShell, fornire i valori di checksum SHA-256 per verificare il file che viene eliminato,
• DBUtilDrv2 (v2.5)

• DBUtilDrv2 (v2.6)

• Dopo la creazione dell'elemento di configurazione con lo script PowerShell, viene creata una baseline di configurazione implementata nella raccolta "All Systems". A seconda della configurazione di MECM, potrebbe essere necessario separare l'implementazione in base a considerazioni come chassis dei computer, modelli e così via.
• Impostare le raccolte in modo da registrare l'esito positivo del completamento. Ad esempio, è possibile creare una raccolta "Compliant" per i sistemi in cui non viene restituito alcun codice errore o non viene rilevato alcun file e una raccolta "Non-Compliant" per i sistemi in cui viene restituito un codice errore.
• Dopo l'esecuzione dell'elemento di configurazione, esaminare la raccolta Non-Compliant. Potrebbero essere presenti le seguenti istanze:
  • Sistemi con versioni precedenti dei prodotti interessati indicati in precedenza
  • Sistemi che richiedono il riavvio
  • Sistemi in cui l'esecuzione dell'elemento di configurazione ha avuto esito negativo a causa di un timeout
• Scegliere il metodo di implementazione "Required" (e non "Available" per rendere obbligatoria l'operazione.
  • ""DBUtil Removal Utility" fornisce codici di uscita che possono essere utilizzati da MEC

Codice di uscita MSI	Descrizione	Codice errore
0	Azione completata correttamente.	ERROR_SUCCESS
1603	Errore irreversibile durante l'installazione.	ERROR_INSTALL_FAILURE
3010	È necessario riavviare il sistema per completare l'installazione. Ciò non riguarda le installazioni in cui viene eseguita l'azione ForceReboot. Questo codice errore non è disponibile nella versione 1.0 del programma di installazione di Windows.	ERROR_SUCCESS_REBOOT_REQUIRED

D: Qual è la differenza tra l'utilità Dell BIOS Flash Utility interessata e le utilità di aggiornamento del BIOS Dell interessate?
R: Le utilità di aggiornamento del BIOS Dell contengono un aggiornamento del BIOS specifico per una piattaforma e applicano l'aggiornamento anche alla piattaforma. Dell BIOS Flash Utility viene utilizzato dalle aziende solo per applicare gli aggiornamenti del BIOS, ma non implica un aggiornamento del BIOS specifico. Per ulteriori informazioni, consultare l'articolo della Knowledge Base Utility di installazione BIOS (in inglese).

D: Uso una piattaforma supportata e intendo aggiornare un driver, il BIOS o un firmware sul sistema. Tuttavia, non esiste ancora un pacchetto aggiornato contenente un driver dbutil corretto per la mia piattaforma oppure devo applicare un pacchetto non corretto. Cosa devo fare?
R: Dopo l'aggiornamento del BIOS, del firmware Thunderbolt, del firmware TPM o del firmware del dock con un pacchetto di aggiornamento del firmware vulnerabile, è necessario eseguire il passaggio 2.2 dell'articolo Dell Security Advisory DSA-2021-152 immediatamente dopo l'aggiornamento per rimuovere le versioni 2.5 e 2.6 del driver DBUtilDrv2.sys dal sistema. Questa azione deve avvenire anche se in precedenza è stato eseguito questo passaggio.

D: Utilizzo una piattaforma EOSL e intendo aggiornare un driver, il BIOS o un firmware sul sistema, ma non esiste un pacchetto aggiornato contenente un driver dbutil corretto. Cosa devo fare?
R: Dopo l'aggiornamento del BIOS, del firmware Thunderbolt, del firmware TPM o del firmware del dock con un pacchetto di aggiornamento del firmware vulnerabile, è necessario eseguire il passaggio 2.2 dell'articolo Dell Security Advisory DSA-2021-152 immediatamente dopo l'aggiornamento per rimuovere le versioni 2.5 e 2.6 del driver DBUtilDrv2.sys dal sistema. Questa azione deve avvenire anche se in precedenza è stato eseguito questo passaggio.

D: Esiste un altro modo per aggiornare il BIOS senza espormi alle versioni 2.5 e 2.6 del driver DBUtilDrv2.sys vulnerabile?
R: Sì, gli aggiornamenti del BIOS possono essere avviati utilizzando il menu di avvio temporaneo con il tasto F12. La maggior parte dei computer Dell prodotti dopo il 2012 hanno questa funzione ed è possibile verificarla avviando il computer al menu di avvio temporaneo con F12. Se come opzione di avvio appare "BIOS FLASH UPDATE", il computer Dell supporta questo metodo di aggiornamento del BIOS utilizzando il menu di avvio temporaneo. La procedura dettagliata è descritta in questo documento di supporto: Aggiornamento flash del BIOS dal menu di avvio temporaneo del tasto F12.
 
D: Dell è a conoscenza di exploit di questa vulnerabilità?
R: Dell non è a conoscenza di alcun utente malevolo che abbia sfruttato questa vulnerabilità a oggi.

D: Un utente malevolo può sfruttare questa vulnerabilità?
R: Un utente malevolo deve prima ottenere l'accesso al PC, ad esempio tramite phishing, malware o con accesso remoto consentito dall'utente. Per proteggersi da utenti malevoli, non acconsentire mai a fornire il controllo remoto al computer ad alcun contatto indesiderato (ad esempio, da una e-mail o una telefonata) per risolvere un problema.
Dell non è a conoscenza di alcun utente malevolo che abbia sfruttato questa vulnerabilità a oggi.

D: Il sistema è sempre a rischio quando una versione 2.5 o 2.6 del driver DBUtilDrv2.sys vulnerabile si trova sul sistema?
R: No, per prima cosa la versione 2.5 o 2.6 del driver DBUtilDrv2.sys deve essere caricata in memoria quando un amministratore esegue uno dei pacchetti di utilità di aggiornamento del firmware interessati, Dell Command | Update, Dell Update, Alienware Update, Dell System Inventory Agent, Dell Platform Tags, Dell BIOS Flash Utility o Dell SupportAssist per PC (privati e aziendali). Una volta che la versione 2.5 o 2.6 del driver DBUtilDrv2.sys.sys viene scaricata dalla memoria dopo il riavvio o rimossa dal computer, la vulnerabilità non è più un problema.

D: Questa vulnerabilità è sfruttabile in remoto?
R: No, non è possibile sfruttare la vulnerabilità in remoto. Un utente dannoso deve prima ottenere (in locale) l'accesso autenticato al dispositivo.

D: Il driver DBUtilDrv2.sys è precaricato sul sistema?
R: No. I computer Dell non vengono spediti con il driver DBUtilDrv2.sys preinstallato e Dell Command | Update, Dell Update, Alienware Update o Dell SupportAssist per PC (privati e aziendali) non precaricano il driver DBUtilDrv2.sys. Il driver DBUtilDrv2.sys viene installato e caricato on-demand tramite l'avvio del processo di aggiornamento del firmware e quindi scaricato dopo il riavvio del sistema.
Nota: dopo l'installazione, i file del driver DBUtilDrv2.sys (versione 2.5) vulnerabile restano sul sistema anche una volta scaricato il driver.

D: Dell ha corretto il problema per tutti i nuovi PC che vengono spediti dalla fabbrica?
R: Sì, tutti i sistemi prodotti a partire dal 19 luglio 2021 con Dell Command | Update, Dell Update, Alienware Update o Dell SupportAssist per PC (Home) sono corretti.

D: Si tratta di una vulnerabilità che riguarda solo Dell?
R: Sì, questa vulnerabilità riguarda le versioni 2.5 e 2.6 del driver specifico di Dell (DBUtilDrv2.sys).

D: I dati sul PC Dell sono stati compromessi a causa della vulnerabilità segnalata?
R: No. Per essere interessati da questa vulnerabilità, un utente malevolo deve avere ottenuto l'accesso al computer, ad esempio tramite phishing, malware o accesso remoto a qualcuno che lo abbia richiesto.
Dell non è a conoscenza di alcun utente malevolo che abbia sfruttato questa vulnerabilità a oggi. 
Come promemoria per proteggersi da utenti malevoli:

• Non acconsentire mai a fornire il controllo remoto al computer ad alcun contatto indesiderato (ad esempio, da una e-mail o una telefonata) per risolvere un problema senza aver prima contattato Dell per assistenza o supporto.
• Dell non contatta i clienti in modo imprevisto per telefono per richiedere l'accesso al PC in relazione alla vulnerabilità segnalata.
• Se l'utente non ha contattato Dell per assistenza o supporto, NON deve fornire l'accesso al PC o dati personali al chiamante indesiderato. Se non si è certi di una chiamata ricevuta, riagganciare e contattare immediatamente il supporto Dell. 

D: Cos'altro posso fare per proteggere i dati?
R: Come per l'uso di qualsiasi dispositivo, prestare sempre la massima attenzione e utilizzare questi suggerimenti importanti per proteggere i dati:

• Prestare attenzione quando si clicca su link o allegati in e-mail non previste o che potrebbero tentare di indurre l'utente ad aprirli indicando un problema con un account, un ordine o altre transazioni oppure indurre ulteriormente l'utente a cliccare su un link fornito per risolvere il problema. Può trattarsi di un utente malevolo che tenta di accedere al dispositivo.
• Non concedere mai il controllo remoto al computer ad alcun chiamante indesiderato per correggere un problema, anche qualora si identificasse come responsabile Dell o fornitore di servizi per conto di Dell. Dell non effettua chiamate non pianificate per richiedere l'accesso remoto a un utente che non abbia per primo contattato Dell per richiedere una chiamata.
• Non fornire mai dati finanziari a contatti indesiderati che tentino di addebitare un importo per la correzione del computer.
• Non pagare Dell o qualsiasi altro servizio di supporto tecnico con alcun tipo di carta regalo o tramite bonifico. Dell non richiede mai questi tipi di pagamento.