Microsoft WPBT 漏洞可让黑客在 Windows 设备上安装 rootkit

安全研究人员在 Microsoft Windows 平台二进制表 (WPBT) 中发现了一个漏洞，可利用该漏洞进行轻松攻击，在 2012 年以来所有 Windows 计算机上安装 rootkit。

Rootkit是威胁行为者创建的恶意工具，旨在通过深入操作系统来逃避检测，并用于在逃避检测的同时完全接管受感染的系统。

WPBT是微软从 Windows 8 开始引入的固定固件ACPI（高级配置和电源接口）表，允许供应商在每次设备启动时执行程序。

然而，除了使 OEM 能够强制安装无法与 Windows 安装介质捆绑的关键软件之外，这种机制还可以让攻击者部署恶意工具，正如微软在其自己的文档中所警告的那样。

“由于此功能提供了在 Windows 环境中持续执行系统软件的能力，因此基于 WPBT 的解决方案尽可能安全并且不会将 Windows 用户暴露于可利用的条件变得至关重要，”微软解释说。

“特别是，WPBT 解决方案不得包含恶意软件（即未经用户充分同意而安装的恶意软件或不需要的软件）。”

影响所有运行 Windows 8 或更高版本的计算机

自 2012 年 Windows 8 首次引入该功能以来，Eclypsium 研究人员发现的弱点就存在于 Windows 计算机上。

这些攻击可以使用各种技术，允许写入 ACPI 表（包括 WPBT）所在的内存或使用恶意引导加载程序。

这可以通过滥用BootHole漏洞绕过安全启动或通过来自易受攻击的外围设备或组件的DMA 攻击来实现。

Eclypsium 研究人员表示：“Eclypsium 研究团队发现了微软 WPBT 功能的一个弱点，该弱点可能允许攻击者在设备启动时以内核权限运行恶意代码。”

“这个弱点可能会通过多种途径（例如物理访问、远程和供应链）和多种技术（例如恶意引导加载程序、DMA 等）被利用。”

缓解措施包括使用 WDAC 政策

在 Eclypsium 将这个错误告知微软后，这家软件巨头建议使用Windows Defender 应用程序控制策略，该策略允许控制哪些二进制文件可以在 Windows 设备上运行。

“WDAC 策略也适用于 WPBT 中包含的二进制文件，应该可以缓解这个问题，”微软在支持文档中表示。

WDAC 策略只能在 Windows 10 1903 及更高版本和 Windows 11 或 Windows Server 2016 及更高版本的客户端版本上创建。

在运行较旧 Windows 版本的系统上，您可以使用 AppLocker 策略来控制允许哪些应用在 Windows 客户端上运行。

Eclypsium 研究人员补充说：“由于 ACPI 和 WPBT 的普遍使用，这些主板级缺陷可以避免像 Secured-core 这样的计划。”

“安全专业人员需要识别、验证和强化其 Windows 系统中使用的固件。组织需要考虑这些向量，并采用分层的安全方法来确保应用所有可用的修复程序并识别对设备的任何潜在危害。”

Eclypsium 发现了另一种攻击向量，允许威胁行为者控制目标设备的启动过程并破坏Dell SupportAssist 的 BIOSConnect 功能中的操作系统级安全控制，该软件预装在大多数戴尔 Windows 设备上。

正如研究人员透露的那样，该问题“影响了 129 款戴尔型号的消费者和商务笔记本电脑、台式机和平板电脑，包括受安全启动和戴尔安全核心 PC 保护的设备”，大约有 3000 万台个人设备受到攻击。

原文来自: bleepingcomputer.com