Уязвимость Microsoft WPBT позволяет хакерам устанавливать руткиты на устройства Windows

29
Microsoft исправляет проблему аутентификации Windows 10, влияющую на удаленный рабочий стол

Исследователи безопасности обнаружили недостаток в двоичной таблице платформы Microsoft Windows (WPBT), который можно использовать для простых атак с целью установки руткитов на все компьютеры с Windows, поставляемые с 2012 года.

Руткиты — это вредоносные инструменты, которые злоумышленники создают для уклонения от обнаружения, закапывая глубоко в ОС и используемые для полного захвата скомпрометированных систем, избегая обнаружения.

WPBT — это таблица ACPI (Advanced Configuration and Power Interface) с фиксированной прошивкой, представленная Microsoft, начиная с Windows 8, чтобы позволить поставщикам запускать программы при каждой загрузке устройства.

Однако, помимо того, что производители оборудования могут принудительно устанавливать критически важное программное обеспечение, которое нельзя связать с установочным носителем Windows, этот механизм также может позволить злоумышленникам развертывать вредоносные инструменты, о чем Microsoft предупреждает в своей собственной документации.

«Поскольку эта функция обеспечивает возможность постоянного выполнения системного программного обеспечения в контексте Windows, становится критически важным, чтобы решения на основе WPBT были как можно более безопасными и не подвергали пользователей Windows уязвимым условиям», — объясняет Microsoft.

«В частности, решения WPBT не должны включать вредоносное ПО (т. Е. Вредоносное программное обеспечение или нежелательное программное обеспечение, установленное без соответствующего согласия пользователя)».

Влияет на все компьютеры под управлением Windows 8 или новее

Слабость, обнаруженная исследователями Eclypsium, присутствует на компьютерах Windows с 2012 года, когда эта функция была впервые представлена ​​в Windows 8.

Эти атаки могут использовать различные методы, которые позволяют записывать в память, где расположены таблицы ACPI (включая WPBT), или с помощью вредоносного загрузчика.

Это может происходить путем злоупотребления уязвимостью BootHole, которая обходит безопасную загрузку, или посредством DMA-атак с уязвимых периферийных устройств или компонентов.

«Исследовательская группа Eclypsium выявила слабое место в возможностях WPBT Microsoft, которое может позволить злоумышленнику запустить вредоносный код с привилегиями ядра при загрузке устройства», — заявили исследователи Eclypsium.

«Эта слабость может быть потенциально использована с помощью нескольких векторов (например, физический доступ, удаленный доступ и цепочка поставок) и несколькими методами (например, вредоносный загрузчик, DMA и т. Д.)».

Eclypsium поделился следующим демонстрационным видео, которое демонстрирует, как можно использовать эту уязвимость безопасности.

Меры по смягчению включают использование политик WDAC

После того, как Eclypsium проинформировал Microsoft об ошибке, софтверный гигант рекомендовал использовать политику управления приложениями Защитника Windows, которая позволяет контролировать, какие двоичные файлы могут запускаться на устройстве Windows.

«Политика WDAC также применяется к двоичным файлам, включенным в WPBT, и должна смягчить эту проблему», — заявляет Microsoft в документе поддержки.

Политики WDAC можно создавать только в клиентских выпусках Windows 10 1903 и более поздних версий и Windows 11 или Windows Server 2016 и более поздних версий.

В системах под управлением более старых выпусков Windows вы можете использовать политики AppLocker, чтобы контролировать, какие приложения разрешено запускать на клиенте Windows.

«Эти недостатки на уровне материнской платы могут устранить такие инициативы, как Secured-core, из-за повсеместного использования ACPI и WPBT», — добавили исследователи Eclypsium.

«Специалисты по безопасности должны идентифицировать, проверять и укреплять микропрограммное обеспечение, используемое в их системах Windows. Организации должны будут учитывать эти векторы и применять многоуровневый подход к безопасности, чтобы гарантировать применение всех доступных исправлений и выявить любые потенциальные угрозы для устройств».

Eclypsium обнаружила еще один вектор атаки, позволяющий злоумышленникам контролировать процесс загрузки целевого устройства и нарушать меры безопасности на уровне ОС в функции BIOSConnect Dell SupportAssist , программного обеспечения, которое предустановлено на большинстве устройств Dell Windows.

Как выяснили исследователи, проблема «затрагивает 129 моделей потребительских и бизнес-ноутбуков, настольных компьютеров и планшетов Dell, включая устройства, защищенные с помощью Secure Boot и Dell с защищенным ядром», при этом атакам подвержено около 30 миллионов индивидуальных устройств.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here