Cercetătorii în materie de securitate au dezvăluit o vulnerabilitate deschisă în Microsoft Windows Platform Binary Table (WPBT) care afectează toate dispozitivele bazate pe platforma Windows de la versiunea 8 și cele ulterioare, care ar putea fi potențial exploatată pentru a instala un rootkit și a compromite integritatea dispozitivelor.
„Aceste defecte fac ca fiecare sistem Windows să fie vulnerabil la atacuri ușor de creat, care instalează tabele de vendor frauduloase”, au declarat cercetătorii de la Eclypsium într-un raport publicat luni. „Aceste tabele pot fi exploatate de atacatori cu acces fizic direct, cu acces la distanță sau prin lanțurile de aprovizionare ale producătorilor. Mai important, aceste defecte la nivelul plăcii de bază pot înlătura inițiative precum Secured-core datorită utilizării omniprezente a ACPI [Advanced Configuration and Power Interfață] și WPBT.”
WPBT, introdus odată cu Windows 8 în 2012, este o caracteristică ce permite „boot firmware pentru a oferi Windows-ului o platformă binară pe care sistemul de operare o poate executa”.
Cu alte cuvinte, permite producătorilor de PC-uri să adreseze executabile portabile semnate sau alte drivere specifice furnizorului care vin ca parte a imaginii ROM a firmware-ului UEFI în așa fel încât să poată fi încărcat în memoria fizică în timpul inițializării Windows și înainte de a executa orice cod al sistemului de operare.
Obiectivul principal al WPBT este acela de a permite caracteristicilor critice, cum ar fi software-ul antifurt, să persiste chiar și în scenarii în care sistemul de operare a fost modificat, formatat sau reinstalat. Dar având în vedere capacitatea funcționalității de a avea un astfel de software „lipit de dispozitiv pe termen nelimitat”, Microsoft a avertizat cu privire la potențialele riscuri de securitate care ar putea apărea din utilizarea incorectă a WPBT, inclusiv posibilitatea de a implementa rootkit-uri pe mașinile Windows.
„Deoarece această caracteristică oferă posibilitatea de a executa în mod persistent software de sistem în contextul Windows, devine esențial ca soluțiile bazate pe WPBT să fie cât mai sigure posibil și să nu expună utilizatorii Windows la condiții de exploatare”, notează producătorul Windows în documentația sa. „În special, soluțiile WPBT nu trebuie să includă programe malware (adică software rău intenționat sau software nedorit instalat fără consimțământul adecvat al utilizatorului).”
Vulnerabilitatea descoperită se bazează pe faptul că mecanismul WPBT poate accepta un cod binar semnat cu un certificat revocat sau expirat pentru a ocoli complet verificarea integrității, permițând astfel unui atacator să semneze un cod binar rău intenționat cu un certificat disponibil deja expirat și să ruleze cod arbitrar cu privilegii de nucleu atunci când dispozitivul pornește.
Ca răspuns la aceste dezvăluiri, Microsoft a recomandat utilizarea unei politici Windows Defender Application Control (WDAC) pentru a controla cu strictețe ce cod binar poate fi permis să ruleze pe dispozitive.
Cea mai recentă dezvăluire urmează unui set separat de constatări din iunie 2021, care a implicat un set de patru vulnerabilități – denumite în mod colectiv BIOS Disconnect – care ar putea fi utilizate pentru a permite o execuție la distanță în cadrul firmware-ului unui dispozitiv în timpul unei actualizări a BIOS-ului, subliniind în continuare complexitatea și provocările implicate în securizarea procesului de boot.
„Această slăbiciune poate fi potențial exploatată prin intermediul mai multor vectori (de exemplu, acces fizic, la distanță și supply chain) și prin mai multe tehnici (de exemplu, bootloader rău intenționat, DMA etc.)”, au spus cercetătorii. „Organizațiile vor trebui să ia în considerare acești vectori și să utilizeze o abordare stratificată a securității pentru a se asigura că toate remedierile disponibile sunt aplicate și pentru a identifica eventualele compromisuri ale dispozitivelor.”
Sursa: The Hacker News
