Угроза восстановления предыдущей уязвимой версии BIOS

Угроза заключается в возможности осуществления вынужденного перехода на использование BIOS/UEFI, содержащей уязвимости.
Данная угроза обусловлена слабостями технологий контроля за обновлением программного обеспечения BIOS/UEFI.
При использовании технологии обновления BIOS/UEFI возможно возникновение следующей ситуации (условия, характеризующие ситуацию указаны в хронологическом порядке):
на компьютере установлена некоторая версия BIOS/UEFI, для которой на момент её работы не известны уязвимости;
в силу некоторых обстоятельств BIOS/UEFI проходит процедуру обновления, сохраняя при этом предыдущую версию BIOS/UEFI на случай «отката» системы;
публикуются данные о существовании уязвимостей в предыдущей версии BIOS/UEFI;
происходит сбой в работе системы, в результате чего текущая (новая) версия BIOS/UEFI становится неработоспособной (например, нарушается её целостность);
пользователь осуществляет штатную процедуру восстановления работоспособности системы – проводит «откат» системы к предыдущему работоспособному состоянию.

• Внутренний нарушитель с низким потенциалом

• Нарушение конфиденциальности
• Нарушение целостности
• Нарушение доступности

Угроза восстановления предыдущей уязвимой версии BIOS (или UEFI) заключается в том, что злоумышленник может понизить версию BIOS на компьютере до более старой, содержащей известные уязвимости, которые были устранены в более поздних версиях. Это позволяет злоумышленнику эксплуатировать эти уязвимости для получения контроля над системой.

Для минимизации данной угрозы необходимо принять следующие меры:

1. Защита от понижения версии BIOS/UEFI:

• Блокировка понижения версии BIOS в настройках BIOS/UEFI: Многие современные BIOS/UEFI предоставляют возможность заблокировать понижение версии BIOS в настройках. Активируйте эту опцию, если она доступна.
• Использование материнских плат с аппаратной защитой от понижения версии BIOS: Некоторые материнские платы имеют аппаратные механизмы защиты, которые предотвращают понижение версии BIOS без физического доступа к материнской плате и переключения специального джампера или переключателя.
• Secure Boot с Measured Boot: Secure Boot с Measured Boot (измеренной загрузкой) использует Trusted Platform Module (TPM) для измерения компонентов загрузки, включая BIOS/UEFI. Это позволяет убедиться, что загружается только доверенное программное обеспечение, и предотвращает запуск старых и уязвимых версий BIOS/UEFI.
• Обновление с помощью проверенных инструментов: Используйте только официальные инструменты, предоставляемые производителем материнской платы, для обновления BIOS/UEFI.
• Проверка целостности файлов обновления: Перед установкой обновления BIOS/UEFI убедитесь, что файлы обновления не были изменены и имеют правильную цифровую подпись.

2. Безопасное хранение предыдущих версий BIOS:

• Не храните предыдущие версии BIOS на компьютере: Если нет абсолютно необходимой причины, не храните предыдущие версии BIOS на компьютере или сервере.
• Безопасное хранение резервных копий: Если вам необходимо хранить резервные копии BIOS, храните их в безопасном месте, защищенном паролем и ограниченным доступом. Желательно хранить их в зашифрованном виде.

3. Мониторинг и аудит:

• Мониторинг изменений BIOS/UEFI: Использовать программное обеспечение для мониторинга изменений BIOS/UEFI. Эти программы отслеживают любые изменения в BIOS/UEFI и сообщают о подозрительных действиях.
• Регулярный аудит безопасности: Проводить регулярный аудит безопасности системы для выявления уязвимостей и оценки эффективности принятых мер.
• Журналирование событий: Включите ведение журналов событий и регулярно анализируйте их для выявления подозрительной активности, связанной с изменением BIOS/UEFI.

4. Физическая защита:

• Ограничение физического доступа: Ограничьте физический доступ к компьютерам и серверам, особенно к тем, которые содержат конфиденциальную информацию.
• Контроль доступа в серверные комнаты: Установите системы контроля доступа (СКУД) в серверные комнаты и другие помещения, где хранится критически важное оборудование.

5. Другие меры:

• Антивирусное программное обеспечение: Используйте антивирусное программное обеспечение, чтобы защитить систему от вредоносных программ, которые могут быть использованы для понижения версии BIOS.
• Обучение персонала: Обучите персонал основам безопасности, чтобы они знали, как защитить свои компьютеры от несанкционированного доступа и вредоносного программного обеспечения.
• Политика безопасности: Разработайте и внедрите политику безопасности, которая определяет правила использования компьютеров и требует от пользователей соблюдения мер безопасности.
• Удаленное подтверждение (Remote Attestation): Использовать технологии удаленного подтверждения, чтобы удаленно проверять целостность и безопасность BIOS/UEFI и других компонентов системы.

6. Действия в случае подозрения на понижение версии BIOS:

• Немедленная изоляция системы: Если вы подозреваете, что версия BIOS была понижена, немедленно изолируйте систему от сети.
• Проверка целостности BIOS: Проверьте целостность BIOS/UEFI с помощью специализированных инструментов.
• Восстановление последней версии BIOS: Восстановите последнюю версию BIOS/UEFI, используя официальные инструменты от производителя.
• Анализ инцидента: Проведите анализ инцидента, чтобы выяснить, как злоумышленнику удалось понизить версию BIOS, и принять меры для предотвращения подобных атак в будущем.

Важные моменты:

• Понижение версии BIOS/UEFI часто требует физического доступа к компьютеру, поэтому ограничение физического доступа является важной мерой защиты.
• Использование Secure Boot и TPM может значительно усложнить задачу понижения версии BIOS, так как требует обхода аппаратных механизмов безопасности.
• Регулярные обновления безопасности и мониторинг активности помогают выявлять и предотвращать попытки понижения версии BIOS.

Внедрение этих мер позволит значительно снизить риск успешного понижения версии BIOS и защитить вашу систему от эксплуатации известных уязвимостей.