DSA-2021-106: Sikkerhedsopdatering til Dell-klientplatform til flere sårbarheder i funktionerne BIOSConnect og HTTPS-start som en del af BIOS for Dell-klient
Sammanfattning:Dell udgiver afhjælpninger til flere sikkerhedssårbarheder, som berører funktionerne BIOSConnect og HTTPS-start.
Välj en produkt för att kontrollera artikelns relevans
Den här artikeln gäller för Den här artikeln gäller inte förDen här artikeln är inte kopplad till någon specifik produkt.Alla produktversioner identifieras inte i den här artikeln.
Dell UEFI BIOS https-stakken, der er anvendes af Dell BIOSConnect-funktionen og Dell HTTPS-startfunktionen, indeholder en forkert sårbarhed vedrørende certifikatvalidering. En hacker med uautoriseret fjernadgang kan udnytte denne svaghed i et mellemmandsangreb, som kan medføre Denial-of-service og manipulation med nyttedata.
Dell BIOSConnect-funktionen indeholder en sårbarhed over for bufferoverløb. En godkendt skadelig administratorbruger med lokal adgang til systemet kan muligvis udnytte denne sårbarhed til at køre vilkårlig kode og omgå UEFI-begrænsninger.
Beskrivelse af funktionerne Dell BIOSConnect og HTTPS-start:
Dell BIOSConnect-funktionen er en Dells preboot-løsning, der bruges til at opdatere system-BIOS og genoprette operativsystemet (OS) ved hjælp af SupportAssist OS Recovery på Dell-klientplatforme. Bemærk: BIOSConnect kræver en fysisk tilstedeværende bruger til at starte denne funktion. Kun et undersæt af platforme med BIOSConnect-funktionen påvirkes. Se tabellen under afsnittet Yderligere oplysninger herunder for at få oplysninger om berørte platforme.
Dell HTTPS-startfunktionen er en udvidelse til UEFI HTTP-startspecifikationerne til at starte fra en HTTP(S)-server. Bemærk: Denne funktion er som standard ikke konfigureret og kan kun konfigureres af en fysisk tilstedeværende bruger med lokale administratorrettigheder til operativsystemet. Derudover skal der være en bruger fysisk til stede for at starte funktionen, når den bruges sammen med trådløse netværk. Ikke alle platforme indeholder HTTPS-startfunktionen. Se tabellen under afsnittet Yderligere oplysninger herunder for at få en liste over berørte platforme.
For at kunne udnytte sårbarhedskæden i BIOSConnect skal en skadelig aktør udføre ekstra trin, før der opnås en vellykket udnyttelse, herunder: kompromittere en brugers netværk, hente et certifikat, som der er tillid til hos et af Dell UEFI BIOS https-stakkens indbyggede nøglecentre, og vente på, at en bruger, der er fysisk til stede på systemet, bruger BIOSConnect-funktionen.
For at kunne udnytte sårbarheden i HTTPS-start skal en skadelig aktør udføre ekstra trin, før der opnås en vellykket udnyttelse, herunder: kompromittere en brugers netværk, hente et certifikat, som der er tillid til hos et af Dell UEFI BIOS https-stakkens indbyggede nøglecentre, og vente på, at en bruger, der er fysisk til stede på systemet, ændrer startrækkefølgen og bruger BIOS HTTPS-startfunktionen.
Foruden at anvende afhjælpningerne herunder kan kunderne beskytte sig selv yderligere ved at følge bedste praksis for sikkerhed ved kun at benytte sikre netværk og forhindre uautoriseret lokal og fysisk adgang til enheder. Kunderne bør også aktivere platformsikkerhedsfunktioner som f.eks. Sikker opstart (aktiveret som standard for Dell-platforme med Windows) og BIOS-administratoradgangskode for yderligere beskyttelse.
Bemærk: Hvis Sikker opstart er deaktiveret, kan det påvirke den potentielle alvorsgrad, der er forbundet med sikkerhedssårbarheden CVE-2021-21571.
Navnebeskyttede CVE-koder
Beskrivelse
CVSS Basisscore
CVSS Vektorstreng
CVE-2021-21571
Dell UEFI BIOS https-stakken, der er anvendes af Dell BIOSConnect-funktionen og Dell HTTPS-startfunktionen, indeholder en forkert sårbarhed vedrørende certifikatvalidering. En hacker med uautoriseret fjernadgang kan udnytte denne svaghed i et mellemmandsangreb, som kan medføre Denial-of-service og manipulation med nyttedata.
Dell BIOSConnect-funktionen indeholder en sårbarhed over for bufferoverløb. En godkendt skadelig administratorbruger med lokal adgang til systemet kan muligvis udnytte denne sårbarhed til at køre vilkårlig kode og omgå UEFI-begrænsninger.
Beskrivelse af funktionerne Dell BIOSConnect og HTTPS-start:
Dell BIOSConnect-funktionen er en Dells preboot-løsning, der bruges til at opdatere system-BIOS og genoprette operativsystemet (OS) ved hjælp af SupportAssist OS Recovery på Dell-klientplatforme. Bemærk: BIOSConnect kræver en fysisk tilstedeværende bruger til at starte denne funktion. Kun et undersæt af platforme med BIOSConnect-funktionen påvirkes. Se tabellen under afsnittet Yderligere oplysninger herunder for at få oplysninger om berørte platforme.
Dell HTTPS-startfunktionen er en udvidelse til UEFI HTTP-startspecifikationerne til at starte fra en HTTP(S)-server. Bemærk: Denne funktion er som standard ikke konfigureret og kan kun konfigureres af en fysisk tilstedeværende bruger med lokale administratorrettigheder til operativsystemet. Derudover skal der være en bruger fysisk til stede for at starte funktionen, når den bruges sammen med trådløse netværk. Ikke alle platforme indeholder HTTPS-startfunktionen. Se tabellen under afsnittet Yderligere oplysninger herunder for at få en liste over berørte platforme.
For at kunne udnytte sårbarhedskæden i BIOSConnect skal en skadelig aktør udføre ekstra trin, før der opnås en vellykket udnyttelse, herunder: kompromittere en brugers netværk, hente et certifikat, som der er tillid til hos et af Dell UEFI BIOS https-stakkens indbyggede nøglecentre, og vente på, at en bruger, der er fysisk til stede på systemet, bruger BIOSConnect-funktionen.
For at kunne udnytte sårbarheden i HTTPS-start skal en skadelig aktør udføre ekstra trin, før der opnås en vellykket udnyttelse, herunder: kompromittere en brugers netværk, hente et certifikat, som der er tillid til hos et af Dell UEFI BIOS https-stakkens indbyggede nøglecentre, og vente på, at en bruger, der er fysisk til stede på systemet, ændrer startrækkefølgen og bruger BIOS HTTPS-startfunktionen.
Foruden at anvende afhjælpningerne herunder kan kunderne beskytte sig selv yderligere ved at følge bedste praksis for sikkerhed ved kun at benytte sikre netværk og forhindre uautoriseret lokal og fysisk adgang til enheder. Kunderne bør også aktivere platformsikkerhedsfunktioner som f.eks. Sikker opstart (aktiveret som standard for Dell-platforme med Windows) og BIOS-administratoradgangskode for yderligere beskyttelse.
Bemærk: Hvis Sikker opstart er deaktiveret, kan det påvirke den potentielle alvorsgrad, der er forbundet med sikkerhedssårbarheden CVE-2021-21571.
Dell Technologies rekommenderar att alla kunder beaktar både CVSS Base Score (baspoäng) och relevanta tidsmässiga och miljömässiga poäng som kan påverka den potentiella allvarlighetsgraden hos specifika säkerhetsrisker.
Berörda produkter och åtgärder
CVE-2021-21573 og CVE-2021-21574 blev afhjulpet i de BIOSConnect-relaterede komponenter på Dells back-end-servere den 28. maj 2021 og kræver ingen yderligere kundehandling.
CVE-2021-21571 og CVE-2021-21572 kræver BIOS-opdateringer til Dell-klienter for at afhjælpe sårbarhederne. Se tabellen under afsnittet Yderligere oplysninger for at finde ud af, hvilken version af den afhjulpne BIOS til Dell-klienten, der skal anvendes på dit system. Du kan opdatere BIOS til Dell-klienter på flere måder. Hvis du typisk bruger BIOSConnect til at opdatere din BIOS, anbefaler Dell, at du anvender en anden metode til at anvende BIOS-opdateringerne, f.eks. en af følgende:
Benyt en af Dells notifikationsløsninger for at få besked og downloade BIOS-opdateringer automatisk, når de bliver tilgængelige.
Besøg webstedet Drivere og downloads for at se opdateringer om de relevante produkter. Hvis du vil vide mere, kan du gå til artiklen Dell BIOS-opdateringer i Dell Knowledge Base og downloade opdateringen til din Dell-computer.
For de personer, der ikke kan anvende BIOS-opdateringer med det samme, har Dell også stillet en midlertidig afhjælpning til rådighed til at deaktivere funktionerne BIOSConnect og HTTPS-start. Se afsnittet nedenfor.
CVE-2021-21573 og CVE-2021-21574 blev afhjulpet i de BIOSConnect-relaterede komponenter på Dells back-end-servere den 28. maj 2021 og kræver ingen yderligere kundehandling.
CVE-2021-21571 og CVE-2021-21572 kræver BIOS-opdateringer til Dell-klienter for at afhjælpe sårbarhederne. Se tabellen under afsnittet Yderligere oplysninger for at finde ud af, hvilken version af den afhjulpne BIOS til Dell-klienten, der skal anvendes på dit system. Du kan opdatere BIOS til Dell-klienter på flere måder. Hvis du typisk bruger BIOSConnect til at opdatere din BIOS, anbefaler Dell, at du anvender en anden metode til at anvende BIOS-opdateringerne, f.eks. en af følgende:
Benyt en af Dells notifikationsløsninger for at få besked og downloade BIOS-opdateringer automatisk, når de bliver tilgængelige.
Besøg webstedet Drivere og downloads for at se opdateringer om de relevante produkter. Hvis du vil vide mere, kan du gå til artiklen Dell BIOS-opdateringer i Dell Knowledge Base og downloade opdateringen til din Dell-computer.
For de personer, der ikke kan anvende BIOS-opdateringer med det samme, har Dell også stillet en midlertidig afhjælpning til rådighed til at deaktivere funktionerne BIOSConnect og HTTPS-start. Se afsnittet nedenfor.
Følgende er en liste over påvirkede produkter og udgivelsesdatoer og minimumsversioner af BIOS-versioner, der skal anvendes:
Dell anbefaler, at alle kunder opdaterer til den nyeste BIOS-version til Dell-klienten så hurtigt som muligt. Kunder, der vælger ikke at anvende BIOS-opdateringer med det samme, eller som af andre årsager ikke har mulighed for at gøre det nu, bør anvende nedenstående afhjælpning.
BIOSConnect:
Kunderne kan deaktivere BIOSConnect-funktionen ved hjælp af en af to muligheder:
Valgmulighed 1: Kunderne kan deaktivere BIOSConnect på BIOS-konfigurationssiden (F2).
Bemærk: Kunderne kan finde BIOSConnect-indstillingen i forskellige grænseflader for BIOS-konfigurationsmenuer afhængig af deres platformmodel. Disse kan ses nedenfor som BIOS-konfigurationsmenu Type A og BIOS-konfigurationsmenu Type B.
BIOS-konfigurationsmenu Type A: F2 > Update, Recovery > BIOSConnect > skift til Off.
BIOS-konfigurationsmenu Type B: F2 > Settings > SupportAssist System Resolution > BIOSConnect > fjern markering af BIOSConnect-indstilling.
Valgmulighed 2: Kunder kan benytte værktøjet til fjernsystemadministration fra Dell Command | Configure (DCC) til at deaktivere BIOSConnect BIOS-indstillingerne.
Bemærk: Dell anbefaler, at kunder ikke kører "BIOS flash Update - Remote" fra F12, før systemet er blevet opdateret med en afhjulpet version af BIOS.
HTTPS-start:
Kunderne kan deaktivere HTTPS-startfunktionen ved hjælp af en af to muligheder:
Valgmulighed 1: Kunderne kan deaktivere BIOSConnect på BIOS-konfigurationssiden (F2).
BIOS-konfigurationsmenu Type A: F2 > Connection > HTTP(s) Boot > Skift til Off.
BIOS-konfigurationsmenu Type B: F2 > Settings > SupportAssist System Resolution > BIOSConnect > fjern markering af BIOSConnect-indstilling.
Valgmulighed 2: Kunder kan benytte værktøjet til fjernsystemadministration fra Dell Command | Configure (DCC) til at deaktivere understøttelse af HTTP-start.
Revideringshistorik
Revision
Dato
Beskrivelse
1.0
24-06-2021
Første version
Bekräftelser
Dell vil gerne takke Mickey Shkatov og Jesse Michael fra Eclypsium for at have rapporteret dette problem.