Исследователи безопасности раскрыли непропатченную уязвимость в бинарной таблице платформы Microsoft Windows (WPBT), затрагивающий все устройства на базе Windows, начиная с Windows 8, который потенциально может быть использован для установки руткита и нарушения целостности устройств.
«Этот баг делают каждую систему Windows уязвимой для простейших атак, которые устанавливают мошеннические таблицы, специфичные для конкретного производителя» - заявили исследователи из Eclypsium. «Эти таблицы могут быть использованы злоумышленниками с прямым физическим доступом к устройству, с удаленным доступом или через цепочки поставок производителей. Что еще важнее - уязвимость на уровне материнской платы может свести на нет такие защитные механизмы как Secured-core, из-за повсеместного использования ACPI [Advanced Configuration and Power Interface] и WPBT».
WPBT представленный в Windows 8 в 2012 году, является функцией, которая позволяет «загрузочной прошивке предоставлять Windows двоичный файл, который операционная система может выполнить».
Другими словами, она позволяет производителям ПК указывать на подписанные портативные исполняемые файлы или другие драйверы конкретного производителя, входящие в состав образа ПЗУ прошивки UEFI, таким образом, чтобы они могли быть загружены в физическую память во время инициализации Windows и до выполнения любого кода операционной системы.
Основная цель WPBT - позволить критически важным функциям, таким как «противоугонное» программное обеспечение, сохраняться даже в сценариях, когда операционная система была изменена, отформатирована или переустановлена. Однако, учитывая возможность такого софта «приклеиваться к устройству на неопределенное время», Microsoft предупредила о потенциальных рисках безопасности, которые могут возникнуть в результате неправильного использования WPBT, включая возможность развертывания руткитов на машинах Windows.
***Тут встроенное видео https://www.youtube.com/watch?v=Ca8NRYT-HZA
«Поскольку эта функция обеспечивает возможность постоянного выполнения системного программного обеспечения в контексте Windows, становится критически важным, чтобы решения на основе WPBT были максимально безопасными и не подвергали пользователей Windows опасности взлома» - отмечает производитель Windows в своей документации. «В частности, решения WPBT не должны содержать вредоносного ПО (т.е. вредоносного или нежелательного программного обеспечения, устанавливаемого без соответствующего согласия пользователя)».
Уязвимость, обнаруженная компанией по безопасности корпоративных прошивок, связана с тем, что механизм WPBT может принять подписанный двоичный файл с отозванным или просроченным сертификатом и таким образом возможно полностью обойти проверку целостности, что позволяет злоумышленнику подписать вредоносный двоичный файл уже имеющимся просроченным сертификатом и выполнить произвольный код с привилегиями ядра при загрузке устройства.
В ответ на обнаруженные факты компания Microsoft рекомендовала использовать политику Windows Defender Application Control (WDAC) для жесткого контроля над тем, какие двоичные файлы разрешены для запуска на устройствах.
Последнее раскрытие информации последовало за набором результатов исследований, полученных в июне 2021 года, которые касались четырех уязвимостей - под общим названием BIOS Disconnect - которые могут быть использованы для удаленного выполнения в микропрограмме устройства во время обновления BIOS, что еще раз подчеркивает сложности и проблемы, связанные с обеспечением безопасности процесса загрузки.
«Эта уязвимость может быть потенциально использована через несколько векторов (например, физический доступ, удаленный доступ, цепочка поставок) и с помощью нескольких методов (например, вредоносный загрузчик, DMA и т.д.)» - сообщают исследователи. «Организациям необходимо учитывать эти векторы атак и использовать многоуровневый подход к безопасности, чтобы обеспечить применение всех доступных патчей и выявить любые потенциальные угрозы для устройств».
Источник: https://thehackernews.com
