VU#226679: Microsoft WinRE は U... ノート

VU#226679: Microsoft WinRE は UEFI/BIOS パスワード強制をバイパスすることを許可します

Windows 10および11のWindowsリカバリ環境(WinRE)は、UEFI/BIOSファームウェアのセキュリティ制御をバイパスするために悪用される可能性があります。物理的または管理者のアクセス権を持つ攻撃者は、WinREの代替ブートパスを利用できます。このパスは、通常のブート中に適用されるのと同じセキュリティ対策を強制しない場合があります。具体的には、管理者のUEFI/BIOSパスワードは、特定のリカバリ操作中に強制されない場合があります。この脆弱性は、物理的アクセスを使用してセキュリティ設定を変更する「Evil Maid」攻撃に似ています。標準のブート順序をオーバーライドするために設定できるUEFI BootNext変数には認証がなく、悪用される可能性があります。Secure Bootは署名付きアプリケーションを検証しますが、UEFI仕様ではBootNextが設定された後の完全なリセットは義務付けられていません。これにより、パスワードやBitLockerなどの起動前セキュリティをバイパスできます。セキュリティ要件の高い組織は、UEFI/BIOSパスワード以外の追加の制御を実装する必要があります。Microsoftは、WinRE関連の脆弱性に関するアドバイザリと緩和策をリリースしています。推奨されるソリューションには、必要ない場合はWinREを無効にすること、リカバリに管理者権限を要求すること、TPMとPINまたはスタートアップキーでBitLockerを有効にすることが含まれます。プラグ可能なメディア、EFIシステムパーティション、およびUEFI NVRAMの変更を制限することも推奨されます。起動前のセキュリティのためにEDRソリューションを展開し、堅牢な物理的セキュリティ制御を実装することは、非常に機密性の高いシステムにとって不可欠です。