DSA-2021-106: Dell clientplatform-beveiligingsupdate voor meerdere beveiligingslekken in de functies van BIOSConnect en HTTPS Boot als onderdeel van de Dell Client BIOS
Samenvatting:Dell brengt oplossingen uit voor meerdere beveiligingsproblemen die van invloed zijn op de BIOSConnect- en HTTPS Boot-functies.
Selecteer een product om de relevantie van het artikel te controleren
Dit artikel is van toepassing op Dit artikel is niet van toepassing opDit artikel is niet gebonden aan een specifiek product.Niet alle productversies worden in dit artikel vermeld.
Dell UEFI BIOS https-stack die wordt gebruikt door de Dell BIOSConnect-functie en Dell HTTPS Boot-functie bevat een beveiligingslek met betrekking tot onjuiste certificaatvalidatie. Een externe niet-geautoriseerde aanvaller kan misbruik maken van dit beveiligingslek met behulp van een person-in-the-middle-aanval die kan leiden tot een denial of service en een manipulatie van de payload.
Dell BIOSConnect-functie bevat een beveiligingslek met betrekking tot een bufferoverschrijding. Een geautoriseerde kwaadwillende gebruiker met lokale toegang tot het systeem kan mogelijk misbruik maken van dit beveiligingslek om willekeurige code uit te voeren en UEFI-beperkingen te omzeilen.
Beschrijving van de functies van de Dell BIOSConnect en HTTPS Boot:
De Dell BIOSConnect-functie is een Dell preboot-oplossing die wordt gebruikt voor het updaten van het systeem-BIOS en het herstellen van het besturingssysteem (OS) met behulp van SupportAssist OS Recovery op Dell clientplatforms. Opmerking: BIOSConnect vereist een fysiek aanwezige gebruiker om deze functie te starten. Alleen een subset van platforms met de BIOSConnect-functie wordt beïnvloed. Zie de tabel onder Aanvullende informatie hieronder voor de betroffen platforms.
De functie Dell HTTPS Boot is een uitbreiding van UEFI HTTP Boot-specificaties om op te starten vanaf een HTTP(S)-server. Opmerking: Deze functie is standaard niet geconfigureerd en vereist een fysiek aanwezige gebruiker met lokale OS-beheerdersrechten om te configureren. Bovendien is een fysiek aanwezige gebruiker verplicht om de functie te starten wanneer deze wordt gebruikt met draadloze netwerken. Niet alle platforms bevatten de HTTPS Boot-functie. Zie de tabel onder het gedeelte Aanvullende informatie hieronder voor een lijst met betroffen platforms.
De bovenstaande beveiligingslekken zijn gemeld als een keten van het beveiligingslek. De cumulatieve score van de beveiligingslek-keten is: 8.3 Hoog CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.
Misbruik van de keten vereist aanvullende stappen:
Om misbruik te maken van de beveiligingslek-keten in BIOSConnect, moet een kwaadwillende actor afzonderlijke aanvullende stappen uitvoeren voordat een succesvol misbruik kan worden uitgevoerd, waaronder: het netwerk van een gebruiker in gevaar brengen, een certificaat verkrijgen dat wordt vertrouwd door een van de ingebouwde certificeringsinstanties van de Dell UEFI BIOS https-stack en wachten op een gebruiker die fysiek op het systeem aanwezig is om de BIOSConnect-functie te gebruiken.
Om misbruik te kunnen maken van het beveiligingslek in HTTPS Boot, moet een kwaadwillende actor afzonderlijke stappen uitvoeren voordat een succesvol misbruik kan worden uitgevoerd, waaronder: het netwerk van een gebruiker in gevaar brengen, een certificaat verkrijgen dat wordt vertrouwd door een van de ingebouwde certificeringsinstanties van de Dell UEFI BIOS https-stack en wachten op een gebruiker die fysiek op het systeem aanwezig is om de opstartvolgorde te wijzigen en de HTTPS Boot-functie gebruikt.
Naast het toepassen van de onderstaande oplossingen, kunnen klanten zichzelf verder beschermen door de aanbevolen werkwijzen voor beveiligingsmaatregelen te volgen door alleen beveiligde netwerken te gebruiken en niet-geautoriseerde lokale en fysieke toegang tot apparaten te voorkomen. Klanten dienen ook functies voor platformbeveiliging in te schakelen, zoals Secure Boot (standaard ingeschakeld voor Dell platforms met Windows) en BIOS-adminwachtwoord voor extra bescherming.
Opmerking: Als Secure Boot is uitgeschakeld, kan dit van invloed zijn op de potentiële ernst die is gekoppeld aan het beveiligingslek CVE-2021-21571.
Eigen code CVE's
Beschrijving
CVSS basisscore
CVSS vectortekenreeks
CVE-2021-21571
Dell UEFI BIOS https-stack die wordt gebruikt door de Dell BIOSConnect-functie en Dell HTTPS Boot-functie bevat een beveiligingslek met betrekking tot onjuiste certificaatvalidatie. Een externe niet-geautoriseerde aanvaller kan misbruik maken van dit beveiligingslek met behulp van een person-in-the-middle-aanval die kan leiden tot een denial of service en een manipulatie van de payload.
Dell BIOSConnect-functie bevat een beveiligingslek met betrekking tot een bufferoverschrijding. Een geautoriseerde kwaadwillende gebruiker met lokale toegang tot het systeem kan mogelijk misbruik maken van dit beveiligingslek om willekeurige code uit te voeren en UEFI-beperkingen te omzeilen.
Beschrijving van de functies van de Dell BIOSConnect en HTTPS Boot:
De Dell BIOSConnect-functie is een Dell preboot-oplossing die wordt gebruikt voor het updaten van het systeem-BIOS en het herstellen van het besturingssysteem (OS) met behulp van SupportAssist OS Recovery op Dell clientplatforms. Opmerking: BIOSConnect vereist een fysiek aanwezige gebruiker om deze functie te starten. Alleen een subset van platforms met de BIOSConnect-functie wordt beïnvloed. Zie de tabel onder Aanvullende informatie hieronder voor de betroffen platforms.
De functie Dell HTTPS Boot is een uitbreiding van UEFI HTTP Boot-specificaties om op te starten vanaf een HTTP(S)-server. Opmerking: Deze functie is standaard niet geconfigureerd en vereist een fysiek aanwezige gebruiker met lokale OS-beheerdersrechten om te configureren. Bovendien is een fysiek aanwezige gebruiker verplicht om de functie te starten wanneer deze wordt gebruikt met draadloze netwerken. Niet alle platforms bevatten de HTTPS Boot-functie. Zie de tabel onder het gedeelte Aanvullende informatie hieronder voor een lijst met betroffen platforms.
De bovenstaande beveiligingslekken zijn gemeld als een keten van het beveiligingslek. De cumulatieve score van de beveiligingslek-keten is: 8.3 Hoog CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.
Misbruik van de keten vereist aanvullende stappen:
Om misbruik te maken van de beveiligingslek-keten in BIOSConnect, moet een kwaadwillende actor afzonderlijke aanvullende stappen uitvoeren voordat een succesvol misbruik kan worden uitgevoerd, waaronder: het netwerk van een gebruiker in gevaar brengen, een certificaat verkrijgen dat wordt vertrouwd door een van de ingebouwde certificeringsinstanties van de Dell UEFI BIOS https-stack en wachten op een gebruiker die fysiek op het systeem aanwezig is om de BIOSConnect-functie te gebruiken.
Om misbruik te kunnen maken van het beveiligingslek in HTTPS Boot, moet een kwaadwillende actor afzonderlijke stappen uitvoeren voordat een succesvol misbruik kan worden uitgevoerd, waaronder: het netwerk van een gebruiker in gevaar brengen, een certificaat verkrijgen dat wordt vertrouwd door een van de ingebouwde certificeringsinstanties van de Dell UEFI BIOS https-stack en wachten op een gebruiker die fysiek op het systeem aanwezig is om de opstartvolgorde te wijzigen en de HTTPS Boot-functie gebruikt.
Naast het toepassen van de onderstaande oplossingen, kunnen klanten zichzelf verder beschermen door de aanbevolen werkwijzen voor beveiligingsmaatregelen te volgen door alleen beveiligde netwerken te gebruiken en niet-geautoriseerde lokale en fysieke toegang tot apparaten te voorkomen. Klanten dienen ook functies voor platformbeveiliging in te schakelen, zoals Secure Boot (standaard ingeschakeld voor Dell platforms met Windows) en BIOS-adminwachtwoord voor extra bescherming.
Opmerking: Als Secure Boot is uitgeschakeld, kan dit van invloed zijn op de potentiële ernst die is gekoppeld aan het beveiligingslek CVE-2021-21571.
Dell Technologies raadt aan dat alle klanten rekening houden met zowel de basisscore van CVSS als alle relevante tijdelijke en omgevingsscores die gevolgen kunnen hebben voor de mogelijke ernst van de specifieke beveiligingsproblemen.
Getroffen producten en herstel
CVE-2021-21573 en CVE-2021-21574 zijn op 28 mei 2021 opgelost in de aan BIOSConnect gerelateerde onderdelen op Dell back-endservers en vereisen geen verdere actie van de klant.
Voor CVE-2021-21571 en CVE-2021-21572 zijn BIOS-updates voor Dell clients vereist om de beveiligingslekken op te lossen. Zie de tabel onder het gedeelte Aanvullende informatie om te bepalen welke versie van het herstelde Dell Client BIOS op uw systeem moet worden toegepast. Er zijn meerdere manieren om uw Dell Client BIOS bij te werken. Als u gewoonlijk BIOSConnect gebruikt om uw BIOS bij te werken, raadt Dell u aan een andere methode te gebruiken om de BIOS-updates toe te passen, zoals:
Een van de Dell notificatieoplossingen gebruiken om automatisch op de hoogte te worden gebracht en BIOS-updates te downloaden zodra deze beschikbaar zijn.
Ga naar de website Drivers en downloads voor updates voor de desbetreffende producten. Ga voor meer informatie naar het Dell Knowledge Base artikel Dell BIOS-updates en download de update voor uw Dell computer.
Voor diegenen die niet onmiddellijk BIOS-updates kunnen toepassen, heeft Dell ook een tijdelijke oplossing geboden om de functies van BIOSConnect en HTTPS Boot uit te schakelen. Zie het onderstaande gedeelte.
CVE-2021-21573 en CVE-2021-21574 zijn op 28 mei 2021 opgelost in de aan BIOSConnect gerelateerde onderdelen op Dell back-endservers en vereisen geen verdere actie van de klant.
Voor CVE-2021-21571 en CVE-2021-21572 zijn BIOS-updates voor Dell clients vereist om de beveiligingslekken op te lossen. Zie de tabel onder het gedeelte Aanvullende informatie om te bepalen welke versie van het herstelde Dell Client BIOS op uw systeem moet worden toegepast. Er zijn meerdere manieren om uw Dell Client BIOS bij te werken. Als u gewoonlijk BIOSConnect gebruikt om uw BIOS bij te werken, raadt Dell u aan een andere methode te gebruiken om de BIOS-updates toe te passen, zoals:
Een van de Dell notificatieoplossingen gebruiken om automatisch op de hoogte te worden gebracht en BIOS-updates te downloaden zodra deze beschikbaar zijn.
Ga naar de website Drivers en downloads voor updates voor de desbetreffende producten. Ga voor meer informatie naar het Dell Knowledge Base artikel Dell BIOS-updates en download de update voor uw Dell computer.
Voor diegenen die niet onmiddellijk BIOS-updates kunnen toepassen, heeft Dell ook een tijdelijke oplossing geboden om de functies van BIOSConnect en HTTPS Boot uit te schakelen. Zie het onderstaande gedeelte.
Hieronder vindt u een lijst met betroffen producten en releasedatums en minimale BIOS-versies die moeten worden toegepast:
Dell raadt alle klanten aan de nieuwste Dell Client BIOS-versie zo snel mogelijk bij te werken. Klanten die ervoor kiezen BIOS-updates niet onmiddellijk toe te passen of die dit nu niet kunnen doen, moeten de onderstaande beperking toepassen.
BIOSConnect:
Klanten kunnen de functie BIOSConnect uitschakelen door een van de volgende twee opties te gebruiken:
Optie 1: Klanten kunnen BIOSConnect uitschakelen op de pagina BIOS Setup (F2).
Opmerking: Klanten kunnen de optie BIOSConnect vinden onder verschillende menu-interfaces van BIOS Setup, afhankelijk van hun platformmodel. Deze worden hieronder weergegeven als BIOS Setup-menu Type A en BIOS Setup-menu Type B.
BIOS Setup-menu Type A: F2 > Update, Recovery > BIOSConnect > schakel dit uit.
BIOS Setup-menu Type B: F2 > Settings > SupportAssist System Resolution > BIOSConnect > schakel de optie BIOSConnect uit.
Optie 2: Klanten kunnen gebruikmaken van de tool Remote System Management van Dell Command | Configure (DCC) om de BIOS-instellingen van BIOSConnect uit te schakelen.
Opmerking: Dell raadt klanten aan om "BIOS Flash Update - Remote" vanaf F12 niet uit te voeren totdat het systeem is bijgewerkt met een herstelde versie van het BIOS.
HTTPS Boot:
Klanten kunnen de functie HTTPS Boot uitschakelen met behulp van een van de volgende twee opties:
Optie 1: Klanten kunnen BIOSConnect uitschakelen op de pagina BIOS Setup (F2).
BIOS Setup-menu Type A: F2 > Connection > HTTP(s) Boot > schakel dit uit.
BIOS Setup-menu Type B: F2 > Settings > SupportAssist System Resolution > BIOSConnect > schakel de optie BIOSConnect uit.
Optie 2: Klanten kunnen gebruikmaken van de Remote System Management-tool van Dell Command | Configure (DCC) om de ondersteuning voor HTTP Boot uit te schakelen.
Revisiegeschiedenis
Revisie
Datum
Beschrijving
1.0
24-6-2021
Eerste release
Bevestigingen
Dell wil Mickey Shkatov en Jesse Michael van Eclypsium bedanken voor het melden van dit probleem.