VU#226679:Microsoft WinRE 允许绕过... 笔记

VU#226679:Microsoft WinRE 允许绕过 UEFI/BIOS 密码强制策略”

Windows 10 和 Windows 11 中的 Windows 恢复环境(WinRE)可被利用以绕过 UEFI/BIOS 固件安全控制。拥有物理或管理权限的攻击者可利用 WinRE 的替代启动路径。该路径在启动过程中可能未强制执行正常启动时应用的安全措施。具体而言,在特定恢复操作中,管理级 UEFI/BIOS 密码可能未被强制执行。此漏洞类似于“邪恶女仆”(Evil Maid)攻击,即利用物理访问权限修改安全设置。UEFI 的 BootNext 变量可用于覆盖标准启动顺序,但该变量未经过身份验证,因而可被利用。虽然安全启动(Secure Boot)会验证已签名的应用程序,但 UEFI 规范并未强制要求在设置 BootNext 后执行完全重置。这使得攻击者能够绕过预启动安全机制(如密码),甚至可能绕过 BitLocker。对于具有高安全需求组织而言,仅依赖 UEFI/BIOS 密码是不够的,应实施额外的控制措施。微软已发布有关 WinRE 相关漏洞的通告及缓解方案。建议的解决方案包括:如非必要则禁用 WinRE;要求恢复操作需经管理授权;启用 BitLocker 并配合 TPM 与 PIN 码或启动密钥。此外,还建议限制可移动媒体、EFI 系统分区以及 UEFI NVRAM 的修改。对于高度敏感的系统,部署具备预启动安全功能的端点检测与响应(EDR)解决方案,并实施强有力的物理安全控制至关重要。