文章总结: 公开资料显示,安全研究人员发现戴尔BIOS口令存在严重漏洞CVE-2026-40639。该漏洞源于使用可逆的XOR加密而非安全哈希函数存储口令,且加密密钥直接暴露在闪存中。攻击者通过物理访问读取SPI闪存,可在毫秒内恢复BIOS管理员口令。受影响设备包括多款Latitude、XPS及在售的Wyse5070瘦客户机。戴尔已为部分平台发布补丁,但大量已终止支持设备面临风险。建议将BIOS口令仅视为混淆措施,并设置唯一口令强化物理安全。 综合评分: 95 文章分类: 漏洞分析
毫秒级破解:戴尔BIOS口令为何在XOR加密下不堪一击 (CVE-2026-40639)
原创
网空闲话 网空闲话
网空闲话plus
2026年7月12日 07:36 北京
在小说阅读器读本章
去阅读
2026年7月10日,安全研究机构MDSec的研究员Craig S. Blackie与AmberWolf的研究员Darren McDonald联合发布研究报告,公开了一个影响广泛的戴尔客户端平台BIOS安全漏洞,编号CVE-2026-40639。该漏洞允许拥有物理访问权限的攻击者,通过读取主板上的SPI闪存芯片,在几毫秒内完整恢复BIOS管理员及用户口令。其根源在于戴尔长期使用的一种基于XOR的可逆加密方案,而非安全的单向哈希函数。
一、 意外发现:从DMA攻击研究到XOR密钥泄露
这项发现并非一次蓄谋已久的漏洞挖掘。根据研究者在博客中的自述,他们最初的目标是复现针对惠普设备的预启动DMA攻击,并探索类似弱点在戴尔UEFI固件中存在的可能性。这项前置研究要求他们必须首先理解戴尔BIOS设置位于SPI闪存上的存储布局。
他们采用了一种直接且高效的方法:通过SOIC-8烧录夹和T48编程器,在修改一项BIOS设置后,完整读取闪存并进行前后字节比对。当他们将这种方法应用于BIOS口令时,本意是定位口令存储区域,并尝试通过将其清零来实现口令移除。然而,他们在闪存转储中观察到的现象远超预期。为便于观察,他们设置了一个重复字符口令“AAAAAAAA”。在转储数据中,他们发现口令并未被哈希处理,而是以可逆形式存储:口令的首字节未加密,剩余部分与一个20字节密钥进行XOR。更致命的是,由于短口令后的空填充区域与密钥异或,直接暴露了密钥本身。研究者写道:“我们意识到我们实际看到的…口令没有被哈希处理。它被XOR加密了,而密钥就放在同一记录中密文的旁边。一个泄露自己密钥的密码系统。”
二、 技术剖析:三重缺陷导致防线崩溃
经逆向分析负责该功能的SystemPwSmm SMM驱动模块,完整的技术机制得以还原。该漏洞并非源于单一失误,而是由架构设计、密码学实现及数据管理三方面的缺陷共同导致。
- 脆弱的加密方案:泄露密钥的XOR BIOS口令存储在闪存上一个名为DVAR(Dell Variable)的专有存储区域。每条口令占据一个固定的32字节记录。其结构极其脆弱:
-
第0字节 (明文):口令的第一个字符。
-
第1-31字节 (密文):口令的剩余字符,若口令不足32字节,则用空字符(0x00)填充后再加密。
加密算法为循环XOR,即
密文[i] = 明文[i] XOR 密钥[(i-1) mod 20]。核心漏洞在于:当口令长度≤12个字符时,记录尾部存在未被口令占用的空填充区域。任何数与0x00异或的结果都是其本身。因此,空填充区域对应的密文,直接暴露了完整的20字节密钥。攻击者无需任何暴力破解或已知明文,即可从一条记录中提取密钥并逆向全部密文。
-
有限的密钥空间与历史泄露:256把钥匙的万能锁
对于13-31字符的较长口令,单条记录的尾部空填充区域不再泄露完整密钥,会导致中间部分出现盲区。然而,另一个设计缺陷彻底解决了这个障碍。密钥派生方式极为简陋,它由一个设备固定的7字节种子、一个固定的16字节GUID,以及口令的第一个明文字符共同计算得出。这意味着,在一台设备上,针对同一个首字符,只存在唯一一个密钥。整个密钥空间仅有256种可能。
更严重的是,DVAR存储采用日志结构,修改口令时旧记录仅被标记为“已删除”而不会被安全擦除。这构成了一个致命的攻击链:攻击者可从闪存的历史记录中,寻找一个首字符与当前口令相同、且长度≤12的历史口令。由于首字符相同,其密钥便与当前口令的密钥完全一致。利用该历史记录泄露的密钥,可瞬间破译当前长口令。企业定期修改口令的行为,反而在此机制下为攻击者积累了更多攻击素材。
-
Wyse 5070的额外混淆:形同虚设的位翻转
在当前仍在销售的Wyse 5070瘦客户机上,研究人员发现了额外一层“混淆”措施:整个DVAR区域存在逐字节的位翻转。这导致“FactoryDefaults”在原始闪存中显示为“Fa#toryDefau,ts”。经分析,约30%的字节位置会受到影响,使用一组固定的掩码(如0x08, 0x10等),且每次写入时随机变化。然而,这并未构成实质障碍。研究者通过比对同一设备在口令变更前后的两次转储,确认这种翻转并非出厂固定,并利用频率分析和字典校验,仍能高概率地恢复原始口令。例如,测试中“Fireport”被成功恢复为“Firehort”(仅1个字符因歧义出错),”Password1!”被恢复为”@assgord1!”(仅2个字符出错)。
三、 漏洞生命周期与影响范围
受影响与不受影响的代表性设备
| 受影响/不受影响 | 设备型号 (部分) | 备注 | | — | — | — | | 受影响 (已确认) | Latitude E7250, Latitude 7490, XPS 15 9560 | 均已终止支持,很可能无补丁 | | 受影响 (已确认) | Wyse 5070 瘦客户机 | 当前在售,截至发稿未修复 | | 受影响 (首批已修复) | Edge Gateway 3000/5000, Embedded PC 3000/5000, Precision 3630/3930, 多款Rugged Latitude | 已于2026年6月9日发布修复固件 | | 不受影响 | OptiPlex 3000 (使用SIVB+SHA-256), Latitude 5310, XPS 15 9530 | 采用新架构,口令不可逆恢复 |
这一对比表明,戴尔已在较新平台(如OptiPlex 3000)上采用了将口令以SHA-256哈希存储在加密SIVB保管库中的安全方案,“戴尔知道如何正确地做到这一点”,研究者评论道,“问题在于修复措施并未覆盖所有仍在销售和部署的产品”。
完整披露时间线
| 日期 | 事件 | | — | — | | 2026-02-13 | 研究者在Wyse 5070口令分析中首次确认密钥泄露弱点。 | | 2026-03-05 | 联合向戴尔PSIRT提交漏洞报告,90天披露窗口期截至6月3日。 | | 2026-03-23 | 18天未收到回复,发送跟进邮件。 | | 2026-03-27 | 戴尔确认漏洞,并承诺修复,但请求将修复目标定在7月底。 | | 2026-03-28 | 研究者要求戴尔说明延期理由,指出此举超出90天窗口。 | | 2026-04-08 | 双方协商后,同意将披露窗口期有限延长至6月9日。 | | 2026-06-09 | 戴尔发布安全公告DSA-2026-197,披露CVE-2026-40639,并为首批平台发布补丁。 | | 2026-07-07 | 研究者于伦敦DC4420会议上首次公开演讲此研究成果。 | | 2026-07-10 | MDSec与AmberWolf博客同步发布完整技术分析报告。 |
四、 影响评估与CVSS评分之争
利用此漏洞的前提是物理访问。攻击者可通过两种方式获取闪存内容:
- 硬件方式:拆机后使用廉价的烧录夹和编程器直接读取闪存芯片,无需焊接。
- 软件方式:启动一个攻击者控制的便携式操作系统(如U盘上的Linux),执行转储工具。
一旦口令被恢复,攻击者便获得了对固件设置的完全控制权,可修改启动顺序、禁用安全启动等。其最大威胁在于可能破解全盘加密。研究者特别指出,如果在启动链中,某些BIOS设置(如预启动DMA保护)的变更未被TPM的PCR寄存器所度量,那么攻击者可在禁用这些安全特性后正常启动系统,TPM因启动度量值未变而会正常释放磁盘解密密钥,从而完成数据窃取。
此外,口令复用是另一大风险。报告强调,许多组织存在跨设备共享BIOS口令的现象,一旦一台设备的口令被提取,可能导致整个组织的设备防线失守。甚至,即使设备在退役处置前已移除口令,闪存中残留的历史口令记录仍可能泄露组织的旧凭据。
在漏洞的严重度评分上,戴尔与研究者存在分歧。戴尔给出的CVSS v3.1评分为5.7,将攻击复杂性(AC)定为“高”。研究者则坚持6.1分,认为AC应为“低”。争论焦点在于:戴尔认为恢复成功率受口令长度影响,故复杂度高。研究者反驳称,CVSS标准中的“高复杂性”指代攻击者完全无法控制的条件(如竞态条件),而在此漏洞中,一旦获得闪存转储,对于占绝大多数的≤12字符口令,恢复过程是“确定且可重复的”。将物理接触的难度在攻击向量(AV:P)和攻击复杂性(AC:H)中重复计算是不合理的。
五、 结论与建议
CVE-2026-40639是一个教科书式的口令存储失败案例。它警示整个行业,固件底层安全中,任何可逆的“加密”替代“哈希”都是原则性错误,而低效的密钥管理和数据残留问题则将风险无限放大。对于仍在等待补丁的设备(尤其是Wyse 5070)和已终止支持的海量设备,其BIOS口令已不能被视作有效的安全控制。
研究者向戴尔提出了根本性修复建议:全面迁移至加盐迭代哈希;若必须可逆存储,密钥长度不应短于字段;加密所有字节;安全擦除历史记录。对于防守方,他们则严正警告:应将BIOS口令视为“混淆措施而非保护”,绝不可将其作为保护启动链或磁盘加密的唯一防线,并应立即为每台设备设置唯一口令,强化物理安全与设备报废流程。
参考文献
1. Craig S. Blackie, Darren McDonald. Dell BIOS Passwords: Weak XOR Encryption Allows Recovery from SPI Flash (CVE-2026-40639). MDSec Blog / AmberWolf Blog, 2026年7月10日发布. https://www.mdsec.co.uk/2026/07/dell-bios-passwords-weak-xor-encryption-allows-recovery-from-spi-flash-cve-2026-40639/
2. Dell Technologies. DSA-2026-197: Security Update for Dell Client Platform BIOS for a Weak Encoding for Password Vulnerability. Dell Support Knowledge Base, 2026年6月9日首次发布,2026年6月16日更新. https://www.dell.com/support/kbdoc/en-us/000453482/dsa-2026-197-security-update-for-dell-client-platform-bios-for-a-weak-encoding-for-password-vulnerability
3. Guru Baran. Dell BIOS Flaw Lets Attackers Recover Admin Passwords From SPI Flash in Milliseconds. Cybersecurity News, 2026年7月11日报道. https://cybersecuritynews.com/dell-bios-flaw-admin-passwords/
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网空闲话plus 网空闲话 网空闲话《毫秒级破解:戴尔BIOS口令为何在XOR加密下不堪一击 (CVE-2026-40639)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论