戴尔客户端设备近期曝出一项涉及BIOS密码保护的严重设计缺陷编号CVE-2026-40639对应戴尔安全公告DSA-2026-197。问题在于其密码并非经安全哈希处理而是依赖一套存在结构性漏洞的XOR异或加密方案存储于SPI闪存芯片内部。攻击者拿到固件转储后无需暴力穷举毫秒级即可还原明文密码。这一发现来自MDSec安全研究员Craig S. Blackie与AmberWolf的Darren McDonald。两人原本在审计戴尔UEFI固件中与前启动DMA无关的其他攻击面却在SystemPwSmm这个SMM驱动模块里发现了密码存储逻辑的根本性失误。该驱动广泛部署于戴尔消费级及商用客户端平台目前已在Latitude E7250、Latitude 7490、XPS 15 9560以及Wyse 5070瘦客户机等设备上得到实证后者截至公告发布时仍未获得补丁。漏洞的核心在于戴尔将管理员与用户密码存放在DVARDell Variable区域采用一段固定长度为20字节的密钥对32字节存储块做循环XOR运算。由于密钥长度与数据块长度不匹配且密码首字符完全以明文形式记录整个加密链条从起点就存在信息泄露。当用户设置的密码不超过12位时32字节字段中剩余的空位会以空字符填充。这些空字符与密钥异或后的结果本质上就是密钥本身的直接暴露。因为20字节密钥在32字节空间内重复填充尾部未使用的字节恰好将密钥字节原样呈现。攻击者读取这段闪存区域后密钥唾手可得回推密码自然毫无难度。面对超过12位的较长密码尾部不再全是空字符直接提取密钥的路径似乎被堵住了。但研究人员进一步发现戴尔的密钥派生逻辑极度单薄它仅依赖设备固定种子、全局GUID以及那个已经明文存储的首字符。这意味着单台设备上可能的密钥空间被压缩到仅有256种。更致命的是旧版DVAR记录在更新密码后并不会被安全擦除闪存中往往残留着历史密码条目。利用这一残留数据攻击者可以先找回一条较短的旧密码从中提取出该设备对应的密钥再将其套用到首字符相同的新密码上。即便用户后来把密码改得更长更复杂只要首字符没变旧密钥依然能解开新密文。这种以旧破新的链条让密码长度带来的那点安全感形同虚设。从攻击向量来看利用该漏洞需要物理接触设备主板通过夹具和编程器直接读取SPI闪存芯片或者能够在目标上启动受控操作系统以访问底层固件区域。整个过程不需要任何身份验证也无需用户交互。一旦BIOS密码失守攻击者便可随意篡改安全启动策略、调整启动顺序、关闭预启动DMA保护进而为绕过全盘加密铺设道路。尤其在TPM策略未对相关配置项做完整度量的场景下这条攻击路径的终点可能就是数据完全失窃。戴尔方面在2026年3月接到私下报告后确认了问题属实并于6月9日发布DSA-2026-197安全公告率先为Edge Gateway、嵌入式PC、Precision工作站及Rugged Latitude系列推送修复。更多机型的补丁计划排期在7月底前陆续放出。不过公告当前并未覆盖Wyse 5070这意味着部分已确认受影响的设备仍处于无防护状态。值得留意的是戴尔新一代平台如OptiPlex 3000已经换用了基于SHA-256的SIVB加密机制不再存在此类XOR缺陷。这说明厂商其实掌握了更可靠的实现方案只是旧平台和部分现售机型的补丁推进存在明显滞后。双方在CVSS评分上存在轻微分歧戴尔将该漏洞定为5.7分而研究人员认为攻击复杂度评估应当更保守主张6.1分。无论最终采信哪个数值这一差距本身并不影响漏洞的实际危害等级。对于仍在使用受影响机型的企业用户和个人而言单纯依赖BIOS密码守护加密启动链已经不够稳妥。研究人员建议戴尔在所有平台全面转向加盐迭代哈希并在密码更新时彻底擦除历史DVAR记录避免残留数据成为后续攻击的跳板。防御侧则应将BIOS密码视为多层防护中的一环而非唯一防线同时尽快部署官方补丁并借助TPM的完整度量策略封堵配置篡改后的启动绕过可能。
戴尔BIOS漏洞使攻击者能够在几毫秒内从SPI闪存中恢复管理员密码
发布时间:2026/7/12 22:12:50
戴尔客户端设备近期曝出一项涉及BIOS密码保护的严重设计缺陷编号CVE-2026-40639对应戴尔安全公告DSA-2026-197。问题在于其密码并非经安全哈希处理而是依赖一套存在结构性漏洞的XOR异或加密方案存储于SPI闪存芯片内部。攻击者拿到固件转储后无需暴力穷举毫秒级即可还原明文密码。这一发现来自MDSec安全研究员Craig S. Blackie与AmberWolf的Darren McDonald。两人原本在审计戴尔UEFI固件中与前启动DMA无关的其他攻击面却在SystemPwSmm这个SMM驱动模块里发现了密码存储逻辑的根本性失误。该驱动广泛部署于戴尔消费级及商用客户端平台目前已在Latitude E7250、Latitude 7490、XPS 15 9560以及Wyse 5070瘦客户机等设备上得到实证后者截至公告发布时仍未获得补丁。漏洞的核心在于戴尔将管理员与用户密码存放在DVARDell Variable区域采用一段固定长度为20字节的密钥对32字节存储块做循环XOR运算。由于密钥长度与数据块长度不匹配且密码首字符完全以明文形式记录整个加密链条从起点就存在信息泄露。当用户设置的密码不超过12位时32字节字段中剩余的空位会以空字符填充。这些空字符与密钥异或后的结果本质上就是密钥本身的直接暴露。因为20字节密钥在32字节空间内重复填充尾部未使用的字节恰好将密钥字节原样呈现。攻击者读取这段闪存区域后密钥唾手可得回推密码自然毫无难度。面对超过12位的较长密码尾部不再全是空字符直接提取密钥的路径似乎被堵住了。但研究人员进一步发现戴尔的密钥派生逻辑极度单薄它仅依赖设备固定种子、全局GUID以及那个已经明文存储的首字符。这意味着单台设备上可能的密钥空间被压缩到仅有256种。更致命的是旧版DVAR记录在更新密码后并不会被安全擦除闪存中往往残留着历史密码条目。利用这一残留数据攻击者可以先找回一条较短的旧密码从中提取出该设备对应的密钥再将其套用到首字符相同的新密码上。即便用户后来把密码改得更长更复杂只要首字符没变旧密钥依然能解开新密文。这种以旧破新的链条让密码长度带来的那点安全感形同虚设。从攻击向量来看利用该漏洞需要物理接触设备主板通过夹具和编程器直接读取SPI闪存芯片或者能够在目标上启动受控操作系统以访问底层固件区域。整个过程不需要任何身份验证也无需用户交互。一旦BIOS密码失守攻击者便可随意篡改安全启动策略、调整启动顺序、关闭预启动DMA保护进而为绕过全盘加密铺设道路。尤其在TPM策略未对相关配置项做完整度量的场景下这条攻击路径的终点可能就是数据完全失窃。戴尔方面在2026年3月接到私下报告后确认了问题属实并于6月9日发布DSA-2026-197安全公告率先为Edge Gateway、嵌入式PC、Precision工作站及Rugged Latitude系列推送修复。更多机型的补丁计划排期在7月底前陆续放出。不过公告当前并未覆盖Wyse 5070这意味着部分已确认受影响的设备仍处于无防护状态。值得留意的是戴尔新一代平台如OptiPlex 3000已经换用了基于SHA-256的SIVB加密机制不再存在此类XOR缺陷。这说明厂商其实掌握了更可靠的实现方案只是旧平台和部分现售机型的补丁推进存在明显滞后。双方在CVSS评分上存在轻微分歧戴尔将该漏洞定为5.7分而研究人员认为攻击复杂度评估应当更保守主张6.1分。无论最终采信哪个数值这一差距本身并不影响漏洞的实际危害等级。对于仍在使用受影响机型的企业用户和个人而言单纯依赖BIOS密码守护加密启动链已经不够稳妥。研究人员建议戴尔在所有平台全面转向加盐迭代哈希并在密码更新时彻底擦除历史DVAR记录避免残留数据成为后续攻击的跳板。防御侧则应将BIOS密码视为多层防护中的一环而非唯一防线同时尽快部署官方补丁并借助TPM的完整度量策略封堵配置篡改后的启动绕过可能。