BIOS Dell, cifratura XOR debole permette il recupero delle password

Tutti i dettagli sulla vulnerabilità CVE-2026-40639: con alcuni BIOS Dell, la password usata a protezione del sistema risulta recuperabile leggendo la memoria SPI flash.

Una password del BIOS dovrebbe rappresentare una barriera difficile da aggirare: protegge l’accesso alle impostazioni del firmware, impedisce modifiche alla sequenza di avvio e contribuisce a difendere il dispositivo da attacchi fisici. Proprio per questo motivo, desta sorpresa la scoperta resa pubblica dai ricercatori di MDSec e AmberWolf: su diversi sistemi Dell, la password non viene conservata come un hash crittografico irreversibile, ma tramite un semplice algoritmo XOR che, in molti casi, permette di ricostruirla integralmente leggendo il contenuto del chip SPI flash. La vulnerabilità, identificata come CVE-2026-40639, mette in discussione un meccanismo presente da anni su alcune piattaforme Dell e ha già portato alla pubblicazione di aggiornamenti firmware per parte dei modelli interessati.

Il problema assume particolare rilevanza negli ambienti aziendali. Molte organizzazioni configurano la stessa password BIOS su intere flotte di notebook e workstation per semplificare la gestione centralizzata. Se tale credenziale diventa recuperabile da un singolo dispositivo smarrito, rubato o dismesso senza una corretta cancellazione del firmware, il rischio si estende potenzialmente a numerosi altri sistemi.

Perché la protezione del BIOS è così importante

Le password del BIOS o, più correttamente, del firmware UEFI, non servono soltanto a impedire modifiche accidentali alla configurazione del computer. Possono bloccare l’avvio da dispositivi USB, impedire la disattivazione del Secure Boot, limitare modifiche alle opzioni TPM e ostacolare numerose tecniche utilizzate durante gli attacchi con accesso fisico.

In pratica, rappresentano uno dei primi livelli di difesa disponibili prima ancora che il sistema operativo inizi il caricamento. Per questa ragione ci si aspetta che tali credenziali siano archiviate con meccanismi crittografici robusti, come hash unidirezionali, e non tramite schemi facilmente reversibili.

Come funziona la vulnerabilità CVE-2026-40639

I ricercatori hanno analizzato il modo in cui diversi firmware Dell memorizzano le password nell’area DVAR (Dell Variable) presente all’interno della memoria SPI flash. Anziché salvare un hash, il firmware utilizza una cifratura XOR ripetuta su un buffer di 32 byte mediante una chiave di 20 byte.

Il punto debole nasce dalla gestione delle password più corte. Se la password contiene fino a 12 caratteri, la parte finale del buffer è riempita con valori nulli: poiché tali byte sono comunque elaborati con l’operazione XOR, il contenuto risultante rivela direttamente la chiave di cifratura.

Una volta recuperata la chiave, l’intera password può essere decifrata senza tentativi, dizionari o forza bruta. I ricercatori evidenziano inoltre che il primo carattere della password non risulta nemmeno cifrato, riducendo ulteriormente la protezione offerta dal meccanismo.

Il risultato è insolito: invece di dover “rompere” una protezione crittografica, basta leggere il dump della memoria flash e applicare poche operazioni matematiche per ottenere la password originale.

Serve comunque l’accesso fisico al computer

Va detto però che la vulnerabilità non permette compromissioni da remoto. L’attaccante deve riuscire ad accedere fisicamente al dispositivo e ottenere il contenuto della memoria SPI flash. Esistono diversi modi per farlo: si può utilizzare un programmatore hardware collegandosi direttamente al chip, oppure sfruttare strumenti che consentano di leggere il firmware se il sistema risulta già compromesso a livello locale.

Una volta recuperata la password BIOS, un aggressore può modificare impostazioni normalmente protette: cambiare l’ordine di boot, alterare configurazioni di sicurezza, disabilitare alcune protezioni pre-avvio oppure effettuare operazioni che l’amministratore aveva volutamente impedito.

In alcuni scenari la disponibilità della password BIOS potrebbe inoltre facilitare attacchi contro meccanismi di protezione del disco, soprattutto se combinata con altre tecniche rivolte a Secure Boot o ai controlli effettuati prima dell’avvio del sistema operativo. Da sola non basta a violare la cifratura del disco, ma può eliminare uno dei livelli di protezione che ostacolano un attacco fisico.

Le piattaforme coinvolte e la risposta di Dell

Dell ha riconosciuto la vulnerabilità pubblicando l’avviso di sicurezza DSA-2026-197 e classificando il problema come una codifica debole delle password.

L’azienda ha iniziato a distribuire aggiornamenti BIOS per una parte delle piattaforme interessate, mentre alcuni modelli più datati, ormai fuori supporto, potrebbero non ricevere alcuna correzione ufficiale.

Secondo la ricerca, i sistemi più recenti adottano un approccio differente e non utilizzano più il vecchio archivio DVAR per la protezione delle credenziali, ricorrendo invece a meccanismi basati su funzioni crittografiche moderne.

Il fatto è che una parte consistente del parco macchine utilizzato in moltissime realtà d’impresa, continua a utilizzare firmware progettati anni fa.

Perché non basta rimuovere la batteria tampone

Molti associano ancora la password del BIOS alla vecchia memoria CMOS alimentata dalla batteria tampone. In passato era spesso così: rimuovendo la batteria CR2032 per alcuni minuti si azzeravano sia le impostazioni del firmware sia, in numerosi modelli, anche la password.

I sistemi UEFI di oggi funzionano però in modo molto diverso: la password non risiede nella memoria CMOS, ma è salvata all’interno della SPI flash, cioè il chip che contiene il firmware del computer.

Scollegare la batteria serve soprattutto a reimpostare l’orologio di sistema e alcune configurazioni minori, ma nella maggior parte dei notebook e desktop recenti non elimina la password del BIOS. È proprio questa scelta progettuale a rendere rilevante la vulnerabilità CVE-2026-40639.

Ti consigliamo anche

Link copiato negli appunti