Уязвимость Dell BIOS позволяет восстановить пароли из дампа SPI-флеш-памяти за миллисекунды

Dell Technologies

Компания Dell выпустила обновление безопасности DSA-2026-197, закрывающее уязвимость CVE-2026-40639 в BIOS ряда клиентских устройств, которая позволяет атакующему с физическим доступом восстановить пароли администратора и пользователя за миллисекунды. Проблеме присвоен рейтинг 5,7 балла по шкале CVSS 3.1. Уязвимость обнаружили исследователи из MDSec и AmberWolf в ходе анализа механизма хранения паролей в проприетарной конфигурационной области DVAR (Dell Variable) на SPI-флеш-чипах.

Уязвимость CVE-2026-40639

Суть проблемы заключается в том, что в уязвимых устройствах пароли BIOS не сохраняются в виде однонаправленных хешей. Вместо этого микропрограмма хранит их в 32-байтовых полях, используя шифрование XOR с повторяющимся 20-байтовым ключом. Первый символ пароля записывается в открытом виде, а остальные байты зашифрованы. Поскольку поле записи дополняется нулевыми байтами до 32 байт, шифротекст, соответствующий каждому неиспользуемому байту, фактически передаёт сырой байт ключа. Для паролей длиной до 12 символов это раскрывает все 20 байт ключа, обеспечивая полное и детерминированное восстановление пароля без перебора, атак с известным открытым текстом или анализа побочных каналов.

Для более длинных паролей часть ключевых байтов может не оказаться в зоне заполнения одной записи. Однако исследователи выяснили, что механизм вывода ключа в значительной степени является статическим для устройства: используется уникальный seed, переменный GUID и первый байт пароля, который хранится открыто. Это оставляет всего 256 возможных ключей на устройство. Лог-структурированное поведение хранилища DVAR усугубляет проблему: предыдущие записи паролей остаются во флеш-памяти после смены пароля, даже если помечены как удалённые. Если исторический пароль был короче и начинался с того же символа, что и текущий, атакующий может восстановить исторический ключ и использовать его для дешифрования текущего пароля.

Исследователи подтвердили уязвимость на системах Dell Latitude E7250, Latitude 7490, XPS 15 9560 и Wyse 5070. Wyse 5070 остаётся поддерживаемым устройством, но на момент публикации исследования был незапатчен. Новые системы Dell, такие как Optiplex 3000, используют конструкцию Security Information Vault Block, которая хранит SHA-256-хеш пароля в зашифрованном хранилище и не была признана уязвимой.

Dell присвоила уязвимости оценку CVSS 3.1 в 5,7 балла, в то время как исследователи настаивают на 6,1. Разногласия касаются сложности атаки: Dell оценивает её как высокую, тогда как исследователи утверждают, что восстановление имеет низкую сложность при получении дампа флеш-памяти.

Эксплуатация требует физического доступа к устройству или возможности загрузки операционной системы под контролем атакующего. Атакующий может использовать недорогой программатор SPI и зажим для чтения прошивки напрямую, восстановить пароль BIOS, изменить параметры загрузки, отключить Secure Boot или загрузиться с внешнего носителя.

"Всё, что подвергается операции XOR с нулём, остаётся самим собой", - отметили исследователи. Как только атакующий извлекает ключ из заполненной области, он может применить операцию XOR к зашифрованным байтам для восстановления пароля BIOS. Организациям рекомендуется установить обновления микропрограммы Dell, избегать повторного использования паролей BIOS на разных системах и рассматривать затронутые пароли BIOS как восстанавливаемые, а не секретные. Специалистам по защите также следует полагаться на многоуровневые средства контроля, включая Secure Boot, измеренную загрузку TPM, правильно настроенное полное шифрование диска, физическую защиту устройств и безопасные методы утилизации активов.

Ссылки

Комментарии: 0