Microsoft WPBT漏洞可讓黑客在Windows裝置上安裝rootkit
安全研究人員在Microsoft Windows平臺二進位制表 (WPBT) 中發現了一個漏洞,可以利用這個漏洞在2012年以來發布的所有Windows電腦上安裝rootkit。
Rootkit是威脅行為者建立的惡意工具,旨在通過深入作業系統來逃避檢測,並用於在逃避檢測的同時完全接管受感染的系統。
WPBT是一個固定的韌體ACPI(高階配置和電源介面)表,由微軟從Windows 8開始引入,允許供應商在每次裝置啟動時執行程式。
然而,除了使OEM能夠強制安裝無法與Windows安裝介質捆綁的關鍵軟體之外,這種機制還可以允許攻擊者部署惡意工具,正如微軟在其文件中所警告的那樣。
微軟解釋說:“由於該特性提供了在Windows環境中持續執行系統軟體的能力,因此,基於wpbt的解決方案儘可能安全、不讓Windows使用者暴露在可利用條件下變得至關重要。”
“特別是,WPBT解決方案不得包含惡意軟體(即未經使用者充分同意而安裝的惡意軟體或不需要的軟體)。”
影響所有執行Windows 8或更高版本的計算機
eclipse研究人員發現,自2012年Windows 8首次引入該功能以來,Windows電腦上就存在這一缺陷。
這些攻擊可以使用各種技術,允許寫入ACPI表(包括 WPBT)所在的記憶體或使用惡意引導載入程式。
這可以通過濫用BootHole漏洞繞過安全啟動或通過來自易受攻擊的外圍裝置或元件的DMA攻擊來實現。
Eclypsium研究人員表示:“Eclypsium 研究團隊發現了微軟WPBT功能的一個弱點,該弱點可能允許攻擊者在裝置啟動時以核心許可權執行惡意程式碼。”
“這個弱點可能會通過多種途徑(例如物理訪問、遠端和供應鏈)和多種技術(例如惡意引導載入程式、DMA 等)被利用。”
緩解措施包括使用WDAC政策
在Eclypsium告知微軟這個漏洞後,微軟建議使用Windows防衛應用程式控制策略,允許控制哪些二進位制檔案可以在Windows裝置上執行。
“WDAC策略也適用於WPBT中包含的二進位制檔案,應該可以緩解這個問題,”微軟在支援文件中表示。
WDAC策略只能在Windows 10 1903及更高版本和Windows 11或Windows Server 2016 及更高版本的客戶端版本上建立。
在執行較舊Windows版本的系統上,可使用AppLocker策略來控制允許哪些應用在 Windows客戶端上執行。
Eclypsium安全研究人員補充說:“由於ACPI和WPBT的普遍使用,這些主機板級缺陷可以避免像Secured-core這樣的計劃。”
“安全專業人員需要識別、驗證和強化其Windows系統中使用的韌體。企業需要考慮這些向量,並採用分層的安全方法來確保應用所有可用的修復程式都得到應用,並識別任何對裝置的潛在危害。”
Eclypsium發現了另一種攻擊向量,允許威脅行為者控制目標裝置的啟動過程,並破壞Dell SupportAssist的BIOSConnect功能中的作業系統級安全控制,該軟體預裝在大多數戴爾Windows裝置上。
正如研究人員透露的那樣,該問題“影響了129款戴爾型號的消費和商務膝上型電腦、桌上型電腦和平板電腦,包括受安全啟動和戴爾安全核心PC保護的裝置”,大約有3000萬臺個人裝置暴露在攻擊之下。
軟體中的安全漏洞使裝置使用者置身危險當中,而對於廣泛被應用的軟體更可能造成影響嚴重的軟體供應鏈攻擊。隨著惡意軟體不斷提高攻擊手段和技術,常用檢測軟體已很難識別其危害和入侵方式,從而使網路攻擊者可以通過安全漏洞輕易發起攻擊。減少軟體安全漏洞從而提高網路安全防禦能力,已成為網路安全領域廣泛共識。尤其在軟體開發過程中,通過 靜態程式碼檢測可以幫助開發人員減少30%-70%的安全漏洞,從根源加強軟體防禦能力,大大降低遭到網路攻擊的風險。Wukong(悟空)靜態程式碼檢測工具,從原始碼開始,為您的軟體安全保駕護航!
參讀連結:
https://www.bleepingcomputer.com/news/security/microsoft-wpbt-flaw-lets-hackers-install-rootkits-on-windows-devices/
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2793986/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 在 Mac 上通過 VirtualBox 將 Windows 10 安裝到可移動裝置中MacWindows
- 在Windows上安裝MavenWindowsMaven
- MariaDB在Linux和Windows上的安裝LinuxWindows
- Windows10中如何安裝Microsoft Windows Essentials工具WindowsROS
- linux安裝查殺工具Rootkit HunterLinux
- 在Windows上如何安裝和徹底解除安裝Adobe Flash PlayeWindows
- Windows上安裝JDKWindowsJDK
- Microsoft Sql Server 2017 Reporting Services 不支援安裝在DC上ROSSQLServer
- 在Windows安裝chromedriverWindowsChrome
- PlayStation Classic已被黑客破解 可執行USB裝置上的遊戲黑客遊戲
- 在Windows7/8/10上,安裝IISWindows
- 使用 Winget 命令在 Windows 上安裝軟體Windows
- windows上安裝配置redisWindowsRedis
- 超過40個Windows裝置驅動程式包含提升許可權的漏洞Windows
- 在 windows下安裝rabbitmqWindowsMQ
- 在 Homestead 安裝 HTTPS (Windows)HTTPWindows
- 在 Debian 和 Ubuntu 上安裝 Cutefish 可愛魚Ubuntu
- 在linux,windows上安裝rubyonrails開發環境LinuxWindowsAI開發環境
- 使用WSL2在Windows 11上安裝HadoopWindowsHadoop
- 解除安裝 Microsoft EdgeROS
- git安裝及配置教程 windows windows上git的安裝和使用GitWindows
- 在Linux中,什麼是裝置驅動程式?如何安裝和解除安裝裝置驅動程式?Linux
- 在Windows上執行Rainbond,10分鐘快速安裝WindowsAI
- easytier 在windows上快捷安裝“服務”bat指令碼WindowsBAT指令碼
- Windows10上pip安裝Windows
- 如何在Windows上安裝DockerWindowsDocker
- 在CentOS上安裝dockerCentOSDocker
- 在centos上安裝molochCentOS
- SDL在win上安裝
- 在virtualbox上安裝ubuntuUbuntu
- 在Ubuntu上安裝MariaDBUbuntu
- 在CentOS上安裝GitCentOSGit
- 在Linux上安裝gskitLinux
- 在Debian上安裝freeswitch
- 在DebianStretch上安裝FFmpeg
- 在Android上安裝EntwareAndroid
- 在docker上安裝AWVSDocker
- Mac軟體解除安裝——安全徹底地在Mac上解除安裝Microsoft OutlookMacROS