VU#226679: Microsoft WinRE позволяет обойти ограничения пароля UEFI/BIOS
"Среда восстановления Windows (WinRE) в Windows 10 и 11 может быть использована для обхода контроля безопасности прошивки UEFI/BIOS. Атакующие с физическим или административным доступом могут использовать альтернативный путь загрузки WinRE. Этот путь может не обеспечивать одних и тех же мер безопасности, что и во время нормальной загрузки. В частности, административные пароли UEFI/BIOS могут не применяться во время определенных операций восстановления. Эта уязвимость похожа на атаки "Evil Maid", где физический доступ используется для изменения настроек безопасности. Переменная UEFI BootNext, которую можно задать для переопределения стандартного порядка загрузки, не аутентифицируется и может быть использована. Хотя Secure Boot проверяет подписанные приложения, спецификация UEFI не требует полного сброса после установки BootNext. Это позволяет обходить безопасность до загрузки, такую как пароли, и потенциально BitLocker. Организации с высокими требованиями к безопасности должны реализовать дополнительные меры контроля, выходящие за рамки только паролей UEFI/BIOS. Microsoft выпустила рекомендации и смягчения уязвимостей, связанных с WinRE. Рекомендуемые решения включают отключение WinRE, если он не нужен, требование административного разрешения для восстановления и включение BitLocker с TPM и PIN или ключом запуска. Также рекомендуется ограничивать подключаемые носители, разделы файловой системы EFI и изменения NVRAM UEFI. Развертывание решений EDR для безопасности до загрузки и реализация надежных мер физической безопасности имеют решающее значение для высокочувствительных систем."