安全研究人员在Microsoft Windows平台二进制表 (WPBT) 中发现了一个漏洞,可以利用这个漏洞在2012年以来发布的所有Windows电脑上安装rootkit。
Rootkit是威胁行为者创建的恶意工具,旨在通过深入操作系统来逃避检测,并用于在逃避检测的同时完全接管受感染的系统。
WPBT是一个固定的固件ACPI(高级配置和电源接口)表,由微软从Windows 8开始引入,允许供应商在每次设备启动时执行程序。
然而,除了使OEM能够强制安装无法与Windows安装介质捆绑的关键软件之外,这种机制还可以允许攻击者部署恶意工具,正如微软在其文档中所警告的那样。
微软解释说:“由于该特性提供了在Windows环境中持续执行系统软件的能力,因此,基于wpbt的解决方案尽可能安全、不让Windows用户暴露在可利用条件下变得至关重要。”
“特别是,WPBT解决方案不得包含恶意软件(即未经用户充分同意而安装的恶意软件或不需要的软件)。”
影响所有运行Windows 8或更高版本的计算机
eclipse研究人员发现,自2012年Windows 8首次引入该功能以来,Windows电脑上就存在这一缺陷。
这些攻击可以使用各种技术,允许写入ACPI表(包括 WPBT)所在的内存或使用恶意引导加载程序。
这可以通过滥用BootHole漏洞绕过安全启动或通过来自易受攻击的外围设备或组件的DMA攻击来实现。
Eclypsium研究人员表示:“Eclypsium 研究团队发现了微软WPBT功能的一个弱点,该弱点可能允许攻击者在设备启动时以内核权限运行恶意代码。”
“这个弱点可能会通过多种途径(例如物理访问、远程和供应链)和多种技术(例如恶意引导加载程序、DMA 等)被利用。”
缓解措施包括使用WDAC政策
在Eclypsium告知微软这个漏洞后,微软建议使用Windows防卫应用程序控制策略,允许控制哪些二进制文件可以在Windows设备上运行。
“WDAC策略也适用于WPBT中包含的二进制文件,应该可以缓解这个问题,”微软在支持文档中表示。
WDAC策略只能在Windows 10 1903及更高版本和Windows 11或Windows Server 2016 及更高版本的客户端版本上创建。
在运行较旧Windows版本的系统上,可使用AppLocker策略来控制允许哪些应用在 Windows客户端上运行。
Eclypsium安全研究人员补充说:“由于ACPI和WPBT的普遍使用,这些主板级缺陷可以避免像Secured-core这样的计划。”
“安全专业人员需要识别、验证和强化其Windows系统中使用的固件。企业需要考虑这些向量,并采用分层的安全方法来确保应用所有可用的修复程序都得到应用,并识别任何对设备的潜在危害。”
Eclypsium发现了另一种攻击向量,允许威胁行为者控制目标设备的启动过程,并破坏Dell SupportAssist的BIOSConnect功能中的操作系统级安全控制,该软件预装在大多数戴尔Windows设备上。
正如研究人员透露的那样,该问题“影响了129款戴尔型号的消费和商务笔记本电脑、台式机和平板电脑,包括受安全启动和戴尔安全核心PC保护的设备”,大约有3000万台个人设备暴露在攻击之下。
软件中的安全漏洞使设备使用者置身危险当中,而对于广泛被应用的软件更可能造成影响严重的软件供应链攻击。随着恶意软件不断提高攻击手段和技术,常用检测软件已很难识别其危害和入侵方式,从而使网络攻击者可以通过安全漏洞轻易发起攻击。减少软件安全漏洞从而提高网络安全防御能力,已成为网络安全领域广泛共识。尤其在软件开发过程中,通过静态代码检测可以帮助开发人员减少30%-70%的安全漏洞,从根源加强软件防御能力,大大降低遭到网络攻击的风险。Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!
参读链接:
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/121553.html
