受一个严重的设计缺陷影响,攻击者无需暴力破解,就能从戴尔多款设备的闪存转储中完整恢复BIOS管理员密码和用户密码,整个过程仅需数毫秒。该漏洞编号为CVE-2026-40639(戴尔公告DSA-2026-197),根源在于其密码保存方式使用了极易破解的异或混淆,而非真正的密码哈希。 研究人员发现,戴尔将BIOS密码存放在SPI闪存芯片的DVAR区域中,用一个20字节的重复异或密钥对32字节字段进行加密。更为致命的是,密码的第一个字符完全没有被加密,以明文形式存储。当用户设置的密码不超过12个字符时,32字节字段中未使用的尾部填充区域会与零值进行异或运算,直接裸露出原始的密钥字节。由于密钥长度只有20字节,而字段有32字节,这种长度错配导致整个密钥被完整泄露,攻击者可以瞬间逆推出明文密码。 即便密码长度超过12个字符,会留下部分无法直接推导的盲区,研究团队依然找到了突破方法。戴尔的密钥派生过程仅依赖三个固定因素:一个每设备不变的种子、一个GUID以及密码首字符。这意味着每台设备只存在256种可能的密钥。更危险的是,被“删除”的旧DVAR记录并不会被安全擦除,攻击者常常能先恢复一条较短的旧密码记录,从中提取出其密钥,然后把该密钥用在首字母相同的新版长密码上,顺利破译。 该漏洞由MDSec研究员Craig S. Blackie与AmberWolf研究员Darren McDonald在分析戴尔UEFI固件中不相关的预启动DMA漏洞时意外发现。影响范围涵盖被广泛使用的SystemPwSmm SMM驱动,已在Latitude E7250、Latitude 7490、XPS 15 9560等机型上得到确认,令人担忧的是,当前仍在销售并提供支持的Wyse 5070瘦客户机同样受影响,且至今未收到补丁。而较新的OptiPlex 3000等机型已改用基于SHA-256的安全SIVB保险库,证明戴尔手中握有修复方案却未全面部署。鉴于BIOS密码常常用于保护Secure Boot、阻止未授权启动等关键安全环节,这一漏洞可能让大量终端暴露在冷启动攻击和物理访问威胁之下。
![]()
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.