资讯专栏INFORMATION COLUMN

Microsoft WPBT漏洞可让黑客在Windows设备上安装rootkit

xialong / 2633人阅读

摘要:研究人员表示研究团队发现了微软功能的一个弱点,该弱点可能允许攻击者在设备启动时以内核权限运行恶意代码。缓解措施包括使用政策在告知微软这个漏洞后,微软建议使用防卫应用程序控制策略,允许控制哪些二进制文件可以在设备上运行。

安全研究人员在Microsoft Windows平台二进制表 (WPBT) 中发现了一个漏洞,可以利用这个漏洞在2012年以来发布的所有Windows电脑上安装rootkit。

Rootkit是威胁行为者创建的恶意工具,旨在通过深入操作系统来逃避检测,并用于在逃避检测的同时完全接管受感染的系统。

WPBT是一个固定的固件ACPI(高级配置和电源接口)表,由微软从Windows 8开始引入,允许供应商在每次设备启动时执行程序。

然而,除了使OEM能够强制安装无法与Windows安装介质捆绑的关键软件之外,这种机制还可以允许攻击者部署恶意工具,正如微软在其文档中所警告的那样。

微软解释说:“由于该特性提供了在Windows环境中持续执行系统软件的能力,因此,基于wpbt的解决方案尽可能安全、不让Windows用户暴露在可利用条件下变得至关重要。”

“特别是,WPBT解决方案不得包含恶意软件(即未经用户充分同意而安装的恶意软件或不需要的软件)。”

影响所有运行Windows 8或更高版本的计算机

eclipse研究人员发现,自2012年Windows 8首次引入该功能以来,Windows电脑上就存在这一缺陷。

这些攻击可以使用各种技术,允许写入ACPI表(包括 WPBT)所在的内存或使用恶意引导加载程序。

这可以通过滥用BootHole漏洞绕过安全启动或通过来自易受攻击的外围设备或组件的DMA攻击来实现。

Eclypsium研究人员表示:“Eclypsium 研究团队发现了微软WPBT功能的一个弱点,该弱点可能允许攻击者在设备启动时以内核权限运行恶意代码。”

“这个弱点可能会通过多种途径(例如物理访问、远程和供应链)和多种技术(例如恶意引导加载程序、DMA 等)被利用。”

缓解措施包括使用WDAC政策

在Eclypsium告知微软这个漏洞后,微软建议使用Windows防卫应用程序控制策略,允许控制哪些二进制文件可以在Windows设备上运行。

“WDAC策略也适用于WPBT中包含的二进制文件,应该可以缓解这个问题,”微软在支持文档中表示。

WDAC策略只能在Windows 10 1903及更高版本和Windows 11或Windows Server 2016 及更高版本的客户端版本上创建。

在运行较旧Windows版本的系统上,可使用AppLocker策略来控制允许哪些应用在 Windows客户端上运行。

Eclypsium安全研究人员补充说:“由于ACPI和WPBT的普遍使用,这些主板级缺陷可以避免像Secured-core这样的计划。”

“安全专业人员需要识别、验证和强化其Windows系统中使用的固件。企业需要考虑这些向量,并采用分层的安全方法来确保应用所有可用的修复程序都得到应用,并识别任何对设备的潜在危害。”

Eclypsium发现了另一种攻击向量,允许威胁行为者控制目标设备的启动过程,并破坏Dell SupportAssist的BIOSConnect功能中的操作系统级安全控制,该软件预装在大多数戴尔Windows设备上。

正如研究人员透露的那样,该问题“影响了129款戴尔型号的消费和商务笔记本电脑、台式机和平板电脑,包括受安全启动和戴尔安全核心PC保护的设备”,大约有3000万台个人设备暴露在攻击之下。

软件中的安全漏洞使设备使用者置身危险当中,而对于广泛被应用的软件更可能造成影响严重的软件供应链攻击。随着恶意软件不断提高攻击手段和技术,常用检测软件已很难识别其危害和入侵方式,从而使网络攻击者可以通过安全漏洞轻易发起攻击。减少软件安全漏洞从而提高网络安全防御能力,已成为网络安全领域广泛共识。尤其在软件开发过程中,通过静态代码检测可以帮助开发人员减少30%-70%的安全漏洞,从根源加强软件防御能力,大大降低遭到网络攻击的风险。Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!

参读链接:

www.woocoom.com/b021.html?i…

www.bleepingcomputer.com/news/securi…

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/121553.html

相关文章

  • SSID剥离漏洞可让黑客模拟真实无线接入点 影响多个软件平台

    摘要:剥离已成为一种重大威胁,因为它几乎影响了所有软件平台,包括和。尽管从目前情况来看,剥离漏洞不会产生太大的影响,但当被别有用心的网络犯罪团伙加以利用时,对个人或企业造成的损失是难以预计的,因此针对任何安全漏洞都不能抱有侥幸心理。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15...

    IntMain 评论0 收藏0
  • Microsoft Exchange服务器被新的LockFile勒索软件入侵

    摘要:在利用最近披露的漏洞入侵服务器后,一个名为的新的勒索软件团伙对域进行加密。据上周报道,这导致攻击者积极使用漏洞扫描并攻击微软服务器。超过台服务器易受攻击尽管微软在今年月和月修补了这三个漏洞。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidd...

    番茄西红柿 评论0 收藏2637

发表评论

0条评论

最新活动
阅读需要支付1元查看
<