Во-первых, обратите внимание, что вредоносное ПО влияет на ОС, а не на сам BIOS (поскольку нет смысла управлять BIOS). если кто-то пытается атаковать BIOS, его реальная цель - атаковать ОС, которая будет загружаться в BIOS. Руткиты и другие эксплойты при загрузке предназначены для атаки на ОС, влияя на то, как она загружается.
Традиционно BIOS и программно-аппаратный код не очень восприимчивы к вредоносным программам, и, за немногими заметными исключениями, безопасность BIOS не особенно важна, когда вредоносное ПО является вектором для атаки. Меры безопасности BIOS в первую очередь направлены на ограничение физического доступа, который может позволить злоумышленнику обойти ограничения, наложенные программным обеспечением (например, загрузка с live CD для обхода разрешений файловой системы).
Код BIOS сам по себе не уязвим для вредоносного кода, но это точка, где злоумышленник может использовать эксплойты, так что меры безопасности программного обеспечения неэффективны.
Основное место, где BIOS МОЖЕТ помочь с программной безопасностью, - это процесс загрузчика, и именно об этом говорит большинство людей, обсуждая более продвинутые функции безопасности UEFI. UEFI позволяет OEM-производителям и опытным пользователям настраивать криптографические сертификаты, которые работают с загрузчиком, так что могут загружаться только утвержденные ОС и гарантировать, что они не были неправильно изменены вредоносным ПО. если злоумышленник может изменить код загрузчика операционной системы (возможно, обернув загрузчик в свой собственный вредоносный код), он может обойти большую часть операционных систем, лежащих в основе безопасности (например, его способность обрабатывать криптографические ключи для проверки драйверов). Руткиты и другие уязвимости MBR легче предотвратить с помощью этих функций. Вы правы, UEFI не является надежным; помните физический доступ == root доступ.Период.
Настройки BIOS могут быть изменены ОС через APCI (расширенный интерфейс конфигурации питания), но поскольку доступно очень мало настроек, влияющих на безопасность программного обеспечения, это окажет незначительное влияние. То, что система UEFI может самостоятельно получить доступ к Интернету, не является проблемой, если только не обнаружен эксплойт против встроенного браузера. Обычные эксплойты Windows не будут работать и должны быть специально созданы для того, чтобы этот конкретный вариант использования был эффективным.
Надеюсь, это поможет.
