固件安全公司Eclypsium的安全研究人員在微軟Windows平臺二進制表(WPBT)中發(fā)現(xiàn)了一個漏洞,可以利用這個漏洞在2012年以來發(fā)布的所有Windows電腦上安裝rootkit。Rootkits是一種惡意工具,威脅行為者通過隱蔽潛伏在操作系統(tǒng)中來逃避檢測,并用來完全接管受害的系統(tǒng)。WPBT是一個固定的固件ACPI(高級配置和電源接口)表,由微軟從Windows 8開始引入,允許供應商在每次設(shè)備啟動時執(zhí)行程序。
然而,除了允許OEM廠商強制安裝無法與Windows安裝介質(zhì)綁定的關(guān)鍵軟件外,這種機制還允許攻擊者安裝惡意工具,正如微軟在其自己的文檔中警告的那樣。
該功能旨在讓oem包含重要的文件、驅(qū)動程序或系統(tǒng)可執(zhí)行文件,而不需要修改磁盤上的Windows映像。聯(lián)想(Lenovo)、華碩(ASUS)等許多廠商都使用了這一技術(shù)。然而,通過執(zhí)行文件和修改操作系統(tǒng),這種類型的功能可以被視為特定于供應商的rootkit。廣受贊譽的研究員和Windows Internals的合著者,Alex Ionescu,早在2012年就一直在呼吁WPBT作為rootkit的危險,并一直持續(xù)到今天。
微軟解釋說:“由于該特性提供了在Windows環(huán)境中持續(xù)執(zhí)行系統(tǒng)軟件的能力,因此,基于WPBT的解決方案盡可能安全、不讓Windows用戶暴露在可利用條件下就變得至關(guān)重要。”
“特別是,WPBT解決方案必須不包括惡意軟件(即惡意軟件或不必要的軟件安裝沒有充分的用戶同意)。”
影響所有運行Windows 8及以上版本的計算機
Eclypsium公司研究人員發(fā)現(xiàn),自2012年Windows 8首次引入該功能以來,Windows電腦上就存在這一缺陷。這些攻擊可以使用各種允許向ACPI表(包括WPBT)所在的內(nèi)存寫入數(shù)據(jù)的技術(shù),或者使用惡意的引導加載程序。
這可能是通過濫用繞過安全引導的boohole漏洞或通過來自脆弱的外圍設(shè)備或組件的DMA(DIRECT MEMORY ACCESS,直接內(nèi)存訪問)攻擊造成的。
“Eclypsium研究團隊已經(jīng)發(fā)現(xiàn)了微軟WPBT功能的一個弱點,它可以允許攻擊者在設(shè)備啟動時使用內(nèi)核特權(quán)運行惡意代碼,”Eclypsium研究人員說。
“這種弱點可以通過多種載體(如物理訪問、遠程和供應鏈)和多種技術(shù)(如惡意引導加載程序、DMA等)加以利用。”
緩解措施包括使用WDAC政策
在Eclypsium告知微軟這個漏洞后,軟件巨頭建議使用Windows防衛(wèi)應用程序控制策略(WDAC),允許控制哪些二進制文件可以在Windows設(shè)備上運行。
微軟在支持文檔中表示:“WDAC策略也對WPBT中包含的二進制文件實施,應該可以緩解這個問題。”
WDAC策略只能在Windows 10 1903及更高版本、Windows 11或Windows Server 2016及更高版本的客戶端上創(chuàng)建。
在運行舊版本W(wǎng)indows的系統(tǒng)上,你可以使用AppLocker策略來控制哪些應用程序可以在Windows客戶端上運行。
Eclypsium的研究人員補充說:“由于ACPI和WPBT的普遍使用,這些主板級別的缺陷可以避免Secured-core這樣的舉措。”
“安全專業(yè)人員需要識別、驗證和加強Windows系統(tǒng)中使用的固件。組織需要考慮這些向量,并采用分層的安全方法,以確保所有可用的修復程序都得到應用,并識別任何對設(shè)備的潛在危害。”
Eclypsium發(fā)現(xiàn)了另一種攻擊載體,允許威脅行為者控制目標設(shè)備的引導過程,并破壞Dell SupportAssist的BIOSConnect特性中的操作系統(tǒng)級安全控制。Dell SupportAssist是一種在大多數(shù)戴爾Windows設(shè)備上預先安裝的軟件。
正如研究人員所揭示的那樣,這個問題“影響了129種戴爾型號的消費和商業(yè)筆記本電腦、臺式機和平板電腦,包括受安全啟動保護的設(shè)備和戴爾安全核個人電腦”,大約有3000萬臺個人設(shè)備暴露在攻擊之下。
三個月前,Dell電腦的漏洞已有報道。3000萬Dell PC用戶當心:你已被黑客瞄準
