Угроза невозможности управления правами пользователей BIOS

БДУ ФСТЭК - Карточка угрозы

Куда я попал?

Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.

Подробнее

УБИ.053 Угроза невозможности управления правами пользователей BIOS

Угроза заключается в возможности неправомерного использования пользователями декларированного функционала BIOS/UEFI, ориентированного на администраторов.
Данная угроза обусловлена слабостями технологий разграничения доступа (распределения прав) к функционалу BIOS/UEFI между различными пользователями и администраторами.
Реализация данной угрозы возможна при условии физического доступа к терминалу и, при необходимости, к системному блоку компьютера

Типы активов

Микропрограммное обеспечение BIOS/UEFI

Классификация

Конфиденциальность
Целостность
Доступность

Источники угрозы

Внутренний нарушитель - Низкий потенциал

Связанные риски

Риск	Угроза	Уязвимость	Тип актива	Связи
Физическое повреждение оборудования из-за возможности изменения конфигурации BIOS/UEFI в микропрограммном обеспечении Доступность Отказ в обслуживании	Физическое повреждение оборудования Доступность Отказ в обслуживании	Возможность изменения конфигурации BIOS/UEFI	Микропрограммное обеспечение
Неработоспособность операционной системы из-за возможности изменения конфигурации BIOS/UEFI в микропрограммном обеспечении Доступность Отказ в обслуживании	Неработоспособность операционной системы Доступность Отказ в обслуживании	Возможность изменения конфигурации BIOS/UEFI	Микропрограммное обеспечение