Realmente no he entendido si la infección a nivel de firmware (en la placa base o en las unidades) puede ser una cosa sin acceso físico
Es posible porque puede actualizar el firmware en muchos tableros sin necesidad de acceso físico. El caso común es utilizar la interfaz de EFI Capsule Loader, pero también existen otros métodos, uno de los más terroríficos es el uso de Intel AMT para actualizar el firmware de forma remota sin interacción del usuario (en realidad hay sistemas que pueden hacer esto ).
sin embargo, ¿cómo se puede restablecer de fábrica el firmware en ese caso?
Cualquier método para hacerlo con el sistema encendido requiere la cooperación del propio firmware, y es bastante trivial que el malware simplemente no coopere (de hecho, en realidad es más fácil que no cooperen de lo que sería para ellos cooperar). Como resultado, debe retirar físicamente el chip de memoria flash que contiene el firmware y luego reprogramarlo manualmente con un hardware especializado (bueno, especializado desde la perspectiva del usuario final típico, puede usar casi cualquier programador SPI flash que desee como siempre y cuando tenga la interfaz correcta). Hacer eso será funcionalmente imposible para la mayoría de las personas, sobre todo porque es casi imposible obtener la imagen de firmware sin formato de los paquetes de actualización del proveedor (el hardware para programarlo en realidad es barato, y no es algo que requiera más que algunos habilidades realmente básicas para usar).
¿Hay, en particular, una forma de asegurarse de que se restableció a una versión limpia, sin interferencias de un firmware editado malintencionadamente?
La verificación de la imagen de firmware que vas a utilizar es suficiente, siempre que la reprogrames correctamente.
¿Las placas base tienen algún tipo de versión almacenada en ROM no editable a la que puedas recurrir?
Como regla general, no, sería un desperdicio de espacio y energía para el 99.9% de los usuarios finales, y también sería una pesadilla logística para el personal de soporte.
Sin embargo, muchas buenas placas madre usan actualizaciones transaccionales y tienen una copia de respaldo del firmware (comienza como la misma versión, y luego, después de la primera actualización del firmware, rastrea la última versión utilizada. Esto no ayuda realmente porque cualquier cosa que pueda reescribir una puede reescribir ambas.
Parece tan escaso si los firmwares editables en la placa base simplemente crearan nuevos riesgos de seguridad ...
El firmware actualizable no es algo nuevo. El concepto ha existido por mucho más tiempo del que la mayoría de las personas se dio cuenta (las PC más antiguas que he visto que podrían hacerlo sin necesidad de hardware de programación o un intercambio de chips manual son de hace más de una década). Sin embargo, solo recientemente se ha generalizado porque UEFI hace que sea mucho más fácil para el OEM proporcionarle soporte.