Угроза деструктивного использования декларированного функционала BIOS

Угроза заключается в возможности неправомерного использования декларированного функционала BIOS/UEFI для нарушения целостности информации, хранимой на внешних носителях информации и в оперативном запоминающем устройстве компьютера. Данная угроза обусловлена уязвимостями программного обеспечения BIOS/UEFI, предназначенного для тестирования и обслуживания компьютера (средств проверки целостности памяти, программного обеспечения управления RAID-контроллером и т.п.). Реализации данной угрозы может способствовать возможность обновления некоторых BIOS/UEFI без прохождения аутентификации.

• Внутренний нарушитель с низким потенциалом

• Нарушение целостности

Угроза деструктивного использования декларированного функционала BIOS/UEFI (Basic Input/Output System/Unified Extensible Firmware Interface) заключается в том, что злоумышленник может использовать штатные, заявленные производителем возможности BIOS/UEFI для выполнения вредоносных действий, таких как:

• Отключение или изменение настроек безопасности: Отключение Secure Boot, изменение порядка загрузки, отключение паролей BIOS.
• Установка руткитов в BIOS: Использование функций обновления BIOS для внедрения вредоносного кода, который будет выполняться до загрузки операционной системы.
• Перехват управления загрузкой: Изменение параметров загрузки для запуска вредоносного кода вместо операционной системы.
• Получение информации о системе: Использование API BIOS для получения информации о системе, которая может быть использована для дальнейших атак.
• Изменение параметров оборудования: Изменение настроек оборудования (например, частоты процессора) для нарушения стабильности системы или повреждения оборудования.

Поскольку BIOS/UEFI работает на очень низком уровне, любое вредоносное действие, выполненное в BIOS/UEFI, может иметь серьезные последствия для безопасности системы.

Для минимизации данной угрозы необходимо принять следующие меры:

1. Защита от несанкционированного доступа к BIOS/UEFI:

• Надежный пароль BIOS/UEFI: Установите сложный и уникальный пароль для BIOS/UEFI и регулярно его меняйте.
• Пароль на загрузку с внешних носителей: Запретите загрузку с внешних носителей (USB, CD/DVD) без ввода пароля BIOS/UEFI. Это предотвратит запуск вредоносного кода или загрузочных дисков для сброса пароля.
• Отключение неиспользуемых функций: Отключите все неиспользуемые функции в BIOS/UEFI, такие как загрузка с сети (PXE), последовательные порты и другие потенциальные точки входа.
• Включите Secure Boot: Включите Secure Boot в BIOS/UEFI. Secure Boot проверяет цифровую подпись загрузочных файлов, чтобы убедиться, что они не были изменены.
• Установите пароль администратора (Supervisor Password): Помимо пароля пользователя, установите пароль администратора, который позволит менять настройки BIOS/UEFI.

2. Защита от несанкционированного обновления BIOS/UEFI:

• Блокировка обновления BIOS/UEFI без физического доступа: Многие современные BIOS/UEFI предоставляют возможность заблокировать обновление BIOS/UEFI без физического доступа к материнской плате и переключения специального джампера или переключателя. Активируйте эту опцию, если она доступна.
• Загружать обновления BIOS/UEFI только с официальных сайтов производителей: Никогда не загружайте обновления BIOS/UEFI с ненадежных источников.
• Проверять цифровую подпись обновлений BIOS/UEFI: Перед установкой обновления убедитесь, что оно подписано цифровой подписью производителя. Это гарантирует, что обновление не было подделано или изменено.

3. Ограничение функциональности BIOS/UEFI:

• Отключение неиспользуемых API BIOS: Отключите все неиспользуемые API BIOS, которые могут быть использованы для вредоносных действий.
• Ограничение доступа к API BIOS: Ограничьте доступ к API BIOS только авторизованным процессам и приложениям.

4. Защита от атак на уязвимости BIOS/UEFI:

• Регулярно обновлять BIOS/UEFI: Устанавливайте последние обновления BIOS/UEFI от производителя материнской платы. Эти обновления часто содержат исправления уязвимостей и улучшения безопасности.
• Мониторинг целостности BIOS/UEFI: Использовать программное обеспечение для мониторинга целостности BIOS/UEFI. Эти программы регулярно проверяют BIOS/UEFI на наличие изменений и предупреждают о любых подозрительных действиях.
• Использовать антивирусное программное обеспечение: Хотя антивирусное программное обеспечение не может обнаружить вредоносный код, непосредственно находящийся в BIOS/UEFI, оно может помочь защитить систему от вредоносных программ, которые используют скомпрометированный BIOS/UEFI для своих целей.

5. Аппаратные меры защиты:

• Trusted Platform Module (TPM): TPM - это аппаратный чип, который обеспечивает безопасное хранение криптографических ключей и измерение целостности системы. TPM может использоваться для проверки целостности BIOS/UEFI при загрузке.
• Boot Guard (Intel): Boot Guard - это технология Intel, которая обеспечивает аппаратную защиту BIOS/UEFI от несанкционированных изменений.
• Measured Boot: Measured Boot измеряет компоненты загрузки, включая BIOS/UEFI, и сохраняет эти измерения в TPM. Это позволяет удаленно проверять целостность системы.

6. Мониторинг и аудит:

• Мониторинг загрузочного процесса: Мониторить загрузочный процесс системы для выявления подозрительных действий.
• Анализ журналов: Анализируйте журналы BIOS/UEFI и системные журналы для выявления подозрительной активности.
• Системы обнаружения вторжений (HIDS): Использовать HIDS для мониторинга системы на предмет подозрительной активности, связанной с BIOS/UEFI.

7. Организационные меры:

• Строгий контроль физического доступа: Ограничить физический доступ к компьютерам и серверам, особенно к тем, которые содержат конфиденциальную информацию.
• Контроль за ремонтом и обслуживанием: Доверяйте ремонт и обслуживание компьютеров только проверенным и надежным сервисным центрам. Проверяйте оборудование после ремонта.
• Политика безопасности: Разработайте и внедрите политику безопасности, которая определяет правила использования компьютеров и требует от пользователей соблюдения мер безопасности.
• Обучение персонала: Обучите персонал основам безопасности, чтобы они знали, как защитить свои компьютеры от несанкционированного доступа и вредоносного программного обеспечения.
• Соглашения о неразглашении (NDA): Заключайте соглашения о неразглашении с сервисными центрами и другими сторонними организациями, которые имеют доступ к вашему оборудованию.
• Процедура реагирования на инциденты: Разработайте и поддерживайте в актуальном состоянии план реагирования на инциденты безопасности, который определяет действия, которые необходимо предпринять в случае обнаружения компрометации BIOS/UEFI.

8. Дополнительные меры:

• Виртуализация: Запускать критически важные приложения в виртуальных машинах для изоляции от основной системы.
• Белые списки приложений: Использовать белые списки приложений для ограничения запуска только доверенного программного обеспечения.

Ключевые моменты:

• Защита от деструктивного использования функционала BIOS/UEFI требует комплексного подхода, сочетающего аппаратные, программные и организационные меры.
• Необходимо регулярно обновлять BIOS/UEFI для исправления уязвимостей.
• Важно ограничить физический доступ к компьютерам и серверам.
• Повышение осведомленности пользователей о рисках, связанных с безопасностью BIOS/UEFI.

Внедрение этих мер позволит значительно снизить риск деструктивного использования декларированного функционала BIOS/UEFI и обеспечить безопасную загрузку и работу компьютера.