Microsoft WPBT漏洞可让黑客在Windows设备上安装rootkit

中科天齐软件源代码安全检测中心

共 1858字,需浏览 4分钟

 ·

2021-09-27 14:19

安全研究人员在Microsoft Windows平台二进制表 (WPBT) 中发现了一个漏洞,可以利用这个漏洞在2012年以来发布的所有Windows电脑上安装rootkit。

Rootkit是威胁行为者创建的恶意工具,旨在通过深入操作系统来逃避检测,并用于在逃避检测的同时完全接管受感染的系统。

WPBT是一个固定的固件ACPI(高级配置和电源接口)表,由微软从Windows 8开始引入,允许供应商在每次设备启动时执行程序。

然而,除了使OEM能够强制安装无法与Windows安装介质捆绑的关键软件之外,这种机制还可以允许攻击者部署恶意工具,正如微软在其文档中所警告的那样。

微软解释说:“由于该特性提供了在Windows环境中持续执行系统软件的能力,因此,基于wpbt的解决方案尽可能安全、不让Windows用户暴露在可利用条件下变得至关重要。”

“特别是,WPBT解决方案不得包含恶意软件(即未经用户充分同意而安装的恶意软件或不需要的软件)。”


影响所有运行Windows 8或更高版本的计算机


eclipse研究人员发现,自2012年Windows 8首次引入该功能以来,Windows电脑上就存在这一缺陷。

这些攻击可以使用各种技术,允许写入ACPI表(包括 WPBT)所在的内存或使用恶意引导加载程序。

这可以通过滥用BootHole漏洞绕过安全启动或通过来自易受攻击的外围设备或组件的DMA攻击来实现。

Eclypsium研究人员表示:“Eclypsium 研究团队发现了微软WPBT功能的一个弱点,该弱点可能允许攻击者在设备启动时以内核权限运行恶意代码。”

“这个弱点可能会通过多种途径(例如物理访问、远程和供应链)和多种技术(例如恶意引导加载程序、DMA 等)被利用。”


缓解措施包括使用WDAC政策


在Eclypsium告知微软这个漏洞后,微软建议使用Windows防卫应用程序控制策略,允许控制哪些二进制文件可以在Windows设备上运行。

“WDAC策略也适用于WPBT中包含的二进制文件,应该可以缓解这个问题,”微软在支持文档中表示。

WDAC策略只能在Windows 10 1903及更高版本和Windows 11或Windows Server 2016 及更高版本的客户端版本上创建。

在运行较旧Windows版本的系统上,可使用AppLocker策略来控制允许哪些应用在 Windows客户端上运行。

Eclypsium安全研究人员补充说:“由于ACPI和WPBT的普遍使用,这些主板级缺陷可以避免像Secured-core这样的计划。”

“安全专业人员需要识别、验证和强化其Windows系统中使用的固件。企业需要考虑这些向量,并采用分层的安全方法来确保应用所有可用的修复程序都得到应用,并识别任何对设备的潜在危害。”

Eclypsium发现了另一种攻击向量,允许威胁行为者控制目标设备的启动过程,并破坏Dell SupportAssist的BIOSConnect功能中的操作系统级安全控制,该软件预装在大多数戴尔Windows设备上。

正如研究人员透露的那样,该问题“影响了129款戴尔型号的消费和商务笔记本电脑、台式机和平板电脑,包括受安全启动和戴尔安全核心PC保护的设备”,大约有3000万台个人设备暴露在攻击之下。

软件中的安全漏洞使设备使用者置身危险当中,而对于广泛被应用的软件更可能造成影响严重的软件供应链攻击。随着恶意软件不断提高攻击手段和技术,常用检测软件已很难识别其危害和入侵方式,从而使网络攻击者可以通过安全漏洞轻易发起攻击。减少软件安全漏洞从而提高网络安全防御能力,已成为网络安全领域广泛共识。尤其在软件开发过程中,通过静态代码检测可以帮助开发人员减少30%-70%的安全漏洞,从根源加强软件防御能力,大大降低遭到网络攻击的风险。Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!


参读链接:

https://www.woocoom.com/b021.html?id=d300c8c2733b4c80b71502676e9b6902

https://www.bleepingcomputer.com/news/security/microsoft-wpbt-flaw-lets-hackers-install-rootkits-on-windows-devices/

浏览 6
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报