DellがBIOS管理者パスワードおよびユーザーパスワードを保存する方式に関して、新たに重大な欠陥が公表されました。これにより、フラッシュダンプからわずか数ミリ秒で平文の認証情報を完全に復元できてしまいます。
CVE-2026-40639(DSA-2026-197)として追跡されているこの問題は、暗号学的ハッシュではなく、脆弱なXOR暗号方式に起因しています。
SPIフラッシュ上のDellのDVAR(Dell Variable)領域は、パスワードを32バイトのレコードとして保存しており、20バイトの繰り返しXORキーで暗号化されています。先頭の1文字は暗号化されずに保存され、パスワード長を超える未使用バイトは暗号化前にヌルパディングされます。
ゼロとキーバイトをXOR演算すると、そのままキーバイトが出力されるため、このヌルパディングによって暗号化キーがそのまま保存レコードに漏洩してしまいます。
12文字以下のパスワードの場合、この20バイトのキー全体がパディングを通じて漏洩するため、総当たり攻撃も既知平文も一切必要とせず、即座かつ正確な復元が可能になります。
それより長いパスワードでは「ブラインドゾーン」が残るものの、研究者らはキー自体がデバイスごとにわずか256通りの値(固定のデバイスシード、GUID、そして暗号化されない先頭1バイトに基づく)から導出されることを突き止めました。そのため、ログ構造化されたDVARストアに残る過去のパスワードレコードから同じキーを得ることができ、このギャップを完全に埋められてしまいます。
この欠陥はSystemPwSmmというSMMドライバに存在するもので、レガシー機種に限らずDellのクライアント機種全般で広く使用されています。
MDsecが確認したところによると、脆弱な機種にはLatitude E7250、XPS 15 9560、Latitude 7490、そして特筆すべきは現行世代のWyse 5070シンクライアントが含まれており、こちらは現在もサポート対象でありながら未修正のままです。
Dellは新しいプラットフォームについては、SHA-256ベースのSIVBボールトを用いてこの問題を修正済みです。しかし、DSA-2026-197の当初のパッチ対象リストには、脆弱性が確認された4機種すべてが含まれていません。Dellは2026年7月末を目標により広範な修正を行うとしています。
悪用にはSPIフラッシュを読み取るための物理的アクセスが必要です(クリップと安価なプログラマー、あるいは攻撃者が用意したOSを起動する方法など)。ただし、認証や総当たり攻撃は一切不要です。
研究者らはこれをCVSS 6.1と評価しており、フラッシュへのアクセスさえ得られれば復元は完全に決定論的であるとして、Dellが「高い」と評価している攻撃複雑度のスコアには異議を唱えています。
最大のリスクは、ディスク全体の暗号化を回避されてしまう点にあります。BIOSパスワードを復元できれば、攻撃者はセキュアブートを無効化したり、TPMのPCRに必ずしも反映されないプリブートDMA保護設定を無効化したりできる可能性があり、これにより暗号化されたストレージのロックが解除されてしまう恐れがあります。
組織全体でBIOSパスワードを使い回している場合や、中古で転売されたハードウェアに過去のパスワードが残存している場合、被害範囲は単一デバイスをはるかに超えて拡大することになります。
翻訳元: https://cyberpress.org/dell-bios-recover-passwords-spi-flash/