Microsoft WPBT漏洞可讓黑客在Windows裝置上安裝rootkit

zktq2021發表於2021-09-27

安全研究人員在Microsoft Windows平臺二進位制表 (WPBT) 中發現了一個漏洞,可以利用這個漏洞在2012年以來發布的所有Windows電腦上安裝rootkit。

Rootkit是威脅行為者建立的惡意工具,旨在通過深入作業系統來逃避檢測,並用於在逃避檢測的同時完全接管受感染的系統。

WPBT是一個固定的韌體ACPI(高階配置和電源介面)表,由微軟從Windows 8開始引入,允許供應商在每次裝置啟動時執行程式。

然而,除了使OEM能夠強制安裝無法與Windows安裝介質捆綁的關鍵軟體之外,這種機制還可以允許攻擊者部署惡意工具,正如微軟在其文件中所警告的那樣。

微軟解釋說:“由於該特性提供了在Windows環境中持續執行系統軟體的能力,因此,基於wpbt的解決方案儘可能安全、不讓Windows使用者暴露在可利用條件下變得至關重要。”

“特別是,WPBT解決方案不得包含惡意軟體(即未經使用者充分同意而安裝的惡意軟體或不需要的軟體)。”


影響所有執行Windows 8或更高版本的計算機


eclipse研究人員發現,自2012年Windows 8首次引入該功能以來,Windows電腦上就存在這一缺陷。

這些攻擊可以使用各種技術,允許寫入ACPI表(包括 WPBT)所在的記憶體或使用惡意引導載入程式。

這可以通過濫用BootHole漏洞繞過安全啟動或通過來自易受攻擊的外圍裝置或元件的DMA攻擊來實現。

Eclypsium研究人員表示:“Eclypsium 研究團隊發現了微軟WPBT功能的一個弱點,該弱點可能允許攻擊者在裝置啟動時以核心許可權執行惡意程式碼。”

“這個弱點可能會通過多種途徑(例如物理訪問、遠端和供應鏈)和多種技術(例如惡意引導載入程式、DMA 等)被利用。”


緩解措施包括使用WDAC政策


在Eclypsium告知微軟這個漏洞後,微軟建議使用Windows防衛應用程式控制策略,允許控制哪些二進位制檔案可以在Windows裝置上執行。

“WDAC策略也適用於WPBT中包含的二進位制檔案,應該可以緩解這個問題,”微軟在支援文件中表示。

WDAC策略只能在Windows 10 1903及更高版本和Windows 11或Windows Server 2016 及更高版本的客戶端版本上建立。

在執行較舊Windows版本的系統上,可使用AppLocker策略來控制允許哪些應用在 Windows客戶端上執行。

Eclypsium安全研究人員補充說:“由於ACPI和WPBT的普遍使用,這些主機板級缺陷可以避免像Secured-core這樣的計劃。”

“安全專業人員需要識別、驗證和強化其Windows系統中使用的韌體。企業需要考慮這些向量,並採用分層的安全方法來確保應用所有可用的修復程式都得到應用,並識別任何對裝置的潛在危害。”

Eclypsium發現了另一種攻擊向量,允許威脅行為者控制目標裝置的啟動過程,並破壞Dell SupportAssist的BIOSConnect功能中的作業系統級安全控制,該軟體預裝在大多數戴爾Windows裝置上。

正如研究人員透露的那樣,該問題“影響了129款戴爾型號的消費和商務膝上型電腦、桌上型電腦和平板電腦,包括受安全啟動和戴爾安全核心PC保護的裝置”,大約有3000萬臺個人裝置暴露在攻擊之下。

軟體中的安全漏洞使裝置使用者置身危險當中,而對於廣泛被應用的軟體更可能造成影響嚴重的軟體供應鏈攻擊。隨著惡意軟體不斷提高攻擊手段和技術,常用檢測軟體已很難識別其危害和入侵方式,從而使網路攻擊者可以通過安全漏洞輕易發起攻擊。減少軟體安全漏洞從而提高網路安全防禦能力,已成為網路安全領域廣泛共識。尤其在軟體開發過程中,通過 靜態程式碼檢測可以幫助開發人員減少30%-70%的安全漏洞,從根源加強軟體防禦能力,大大降低遭到網路攻擊的風險。Wukong(悟空)靜態程式碼檢測工具,從原始碼開始,為您的軟體安全保駕護航!


參讀連結:

https://www.bleepingcomputer.com/news/security/microsoft-wpbt-flaw-lets-hackers-install-rootkits-on-windows-devices/


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2793986/,如需轉載,請註明出處,否則將追究法律責任。

相關文章