Microsoft WPBT漏洞可讓黑客在Windows裝置上安裝rootkit

安全研究人員在Microsoft Windows平臺二進位制表 (WPBT) 中發現了一個漏洞，可以利用這個漏洞在2012年以來發布的所有Windows電腦上安裝rootkit。

Rootkit是威脅行為者建立的惡意工具，旨在通過深入作業系統來逃避檢測，並用於在逃避檢測的同時完全接管受感染的系統。

WPBT是一個固定的韌體ACPI(高階配置和電源介面)表，由微軟從Windows 8開始引入，允許供應商在每次裝置啟動時執行程式。

然而，除了使OEM能夠強制安裝無法與Windows安裝介質捆綁的關鍵軟體之外，這種機制還可以允許攻擊者部署惡意工具，正如微軟在其文件中所警告的那樣。

微軟解釋說:“由於該特性提供了在Windows環境中持續執行系統軟體的能力，因此，基於wpbt的解決方案儘可能安全、不讓Windows使用者暴露在可利用條件下變得至關重要。”

“特別是，WPBT解決方案不得包含惡意軟體(即未經使用者充分同意而安裝的惡意軟體或不需要的軟體)。”

影響所有執行Windows 8或更高版本的計算機

eclipse研究人員發現，自2012年Windows 8首次引入該功能以來，Windows電腦上就存在這一缺陷。

這些攻擊可以使用各種技術，允許寫入ACPI表(包括 WPBT)所在的記憶體或使用惡意引導載入程式。

這可以通過濫用BootHole漏洞繞過安全啟動或通過來自易受攻擊的外圍裝置或元件的DMA攻擊來實現。

Eclypsium研究人員表示：“Eclypsium 研究團隊發現了微軟WPBT功能的一個弱點，該弱點可能允許攻擊者在裝置啟動時以核心許可權執行惡意程式碼。”

“這個弱點可能會通過多種途徑(例如物理訪問、遠端和供應鏈)和多種技術(例如惡意引導載入程式、DMA 等)被利用。”

緩解措施包括使用WDAC政策

在Eclypsium告知微軟這個漏洞後，微軟建議使用Windows防衛應用程式控制策略，允許控制哪些二進位制檔案可以在Windows裝置上執行。

“WDAC策略也適用於WPBT中包含的二進位制檔案，應該可以緩解這個問題，”微軟在支援文件中表示。

WDAC策略只能在Windows 10 1903及更高版本和Windows 11或Windows Server 2016 及更高版本的客戶端版本上建立。

在執行較舊Windows版本的系統上，可使用AppLocker策略來控制允許哪些應用在 Windows客戶端上執行。

Eclypsium安全研究人員補充說：“由於ACPI和WPBT的普遍使用，這些主機板級缺陷可以避免像Secured-core這樣的計劃。”

“安全專業人員需要識別、驗證和強化其Windows系統中使用的韌體。企業需要考慮這些向量，並採用分層的安全方法來確保應用所有可用的修復程式都得到應用，並識別任何對裝置的潛在危害。”

Eclypsium發現了另一種攻擊向量，允許威脅行為者控制目標裝置的啟動過程，並破壞Dell SupportAssist的BIOSConnect功能中的作業系統級安全控制，該軟體預裝在大多數戴爾Windows裝置上。

正如研究人員透露的那樣，該問題“影響了129款戴爾型號的消費和商務膝上型電腦、桌上型電腦和平板電腦，包括受安全啟動和戴爾安全核心PC保護的裝置”，大約有3000萬臺個人裝置暴露在攻擊之下。

軟體中的安全漏洞使裝置使用者置身危險當中，而對於廣泛被應用的軟體更可能造成影響嚴重的軟體供應鏈攻擊。隨著惡意軟體不斷提高攻擊手段和技術，常用檢測軟體已很難識別其危害和入侵方式，從而使網路攻擊者可以通過安全漏洞輕易發起攻擊。減少軟體安全漏洞從而提高網路安全防禦能力，已成為網路安全領域廣泛共識。尤其在軟體開發過程中，通過 靜態程式碼檢測可以幫助開發人員減少30%-70%的安全漏洞，從根源加強軟體防禦能力，大大降低遭到網路攻擊的風險。Wukong(悟空)靜態程式碼檢測工具，從原始碼開始，為您的軟體安全保駕護航!

參讀連結：

https://www.bleepingcomputer.com/news/security/microsoft-wpbt-flaw-lets-hackers-install-rootkits-on-windows-devices/