安全研究人員在Microsoft Windows平臺(tái)二進(jìn)制表 (WPBT) 中發(fā)現(xiàn)了一個(gè)漏洞，可以利用這個(gè)漏洞在2012年以來(lái)發(fā)布的所有Windows電腦上安裝rootkit。

Rootkit是威脅行為者創(chuàng)建的惡意工具，旨在通過(guò)深入操作系統(tǒng)來(lái)逃避檢測(cè)，并用于在逃避檢測(cè)的同時(shí)完全接管受感染的系統(tǒng)。

WPBT是一個(gè)固定的固件ACPI(高級(jí)配置和電源接口)表，由微軟從Windows 8開(kāi)始引入，允許供應(yīng)商在每次設(shè)備啟動(dòng)時(shí)執(zhí)行程序。

然而，除了使OEM能夠強(qiáng)制安裝無(wú)法與Windows安裝介質(zhì)捆綁的關(guān)鍵軟件之外，這種機(jī)制還可以允許攻擊者部署惡意工具，正如微軟在其文檔中所警告的那樣。

微軟解釋說(shuō):“由于該特性提供了在Windows環(huán)境中持續(xù)執(zhí)行系統(tǒng)軟件的能力，因此，基于wpbt的解決方案盡可能安全、不讓W(xué)indows用戶暴露在可利用條件下變得至關(guān)重要?！?/p>

“特別是，WPBT解決方案不得包含惡意軟件(即未經(jīng)用戶充分同意而安裝的惡意軟件或不需要的軟件)?！?/p>

影響所有運(yùn)行Windows 8或更高版本的計(jì)算機(jī)

eclipse研究人員發(fā)現(xiàn)，自2012年Windows 8首次引入該功能以來(lái)，Windows電腦上就存在這一缺陷。

這些攻擊可以使用各種技術(shù)，允許寫(xiě)入ACPI表(包括 WPBT)所在的內(nèi)存或使用惡意引導(dǎo)加載程序。

這可以通過(guò)濫用BootHole漏洞繞過(guò)安全啟動(dòng)或通過(guò)來(lái)自易受攻擊的外圍設(shè)備或組件的DMA攻擊來(lái)實(shí)現(xiàn)。

Eclypsium研究人員表示：“Eclypsium 研究團(tuán)隊(duì)發(fā)現(xiàn)了微軟WPBT功能的一個(gè)弱點(diǎn)，該弱點(diǎn)可能允許攻擊者在設(shè)備啟動(dòng)時(shí)以內(nèi)核權(quán)限運(yùn)行惡意代碼?！?/p>

“這個(gè)弱點(diǎn)可能會(huì)通過(guò)多種途徑(例如物理訪問(wèn)、遠(yuǎn)程和供應(yīng)鏈)和多種技術(shù)(例如惡意引導(dǎo)加載程序、DMA 等)被利用。”

緩解措施包括使用WDAC政策

在Eclypsium告知微軟這個(gè)漏洞后，微軟建議使用Windows防衛(wèi)應(yīng)用程序控制策略，允許控制哪些二進(jìn)制文件可以在Windows設(shè)備上運(yùn)行。

“WDAC策略也適用于WPBT中包含的二進(jìn)制文件，應(yīng)該可以緩解這個(gè)問(wèn)題，”微軟在支持文檔中表示。

WDAC策略只能在Windows 10 1903及更高版本和Windows 11或Windows Server 2016 及更高版本的客戶端版本上創(chuàng)建。

在運(yùn)行較舊Windows版本的系統(tǒng)上，可使用AppLocker策略來(lái)控制允許哪些應(yīng)用在 Windows客戶端上運(yùn)行。

Eclypsium安全研究人員補(bǔ)充說(shuō)：“由于ACPI和WPBT的普遍使用，這些主板級(jí)缺陷可以避免像Secured-core這樣的計(jì)劃?！?/p>

“安全專業(yè)人員需要識(shí)別、驗(yàn)證和強(qiáng)化其Windows系統(tǒng)中使用的固件。企業(yè)需要考慮這些向量，并采用分層的安全方法來(lái)確保應(yīng)用所有可用的修復(fù)程序都得到應(yīng)用，并識(shí)別任何對(duì)設(shè)備的潛在危害?！?/p>

Eclypsium發(fā)現(xiàn)了另一種攻擊向量，允許威脅行為者控制目標(biāo)設(shè)備的啟動(dòng)過(guò)程，并破壞Dell SupportAssist的BIOSConnect功能中的操作系統(tǒng)級(jí)安全控制，該軟件預(yù)裝在大多數(shù)戴爾Windows設(shè)備上。

正如研究人員透露的那樣，該問(wèn)題“影響了129款戴爾型號(hào)的消費(fèi)和商務(wù)筆記本電腦、臺(tái)式機(jī)和平板電腦，包括受安全啟動(dòng)和戴爾安全核心PC保護(hù)的設(shè)備”，大約有3000萬(wàn)臺(tái)個(gè)人設(shè)備暴露在攻擊之下。

軟件中的安全漏洞使設(shè)備使用者置身危險(xiǎn)當(dāng)中，而對(duì)于廣泛被應(yīng)用的軟件更可能造成影響嚴(yán)重的軟件供應(yīng)鏈攻擊。隨著惡意軟件不斷提高攻擊手段和技術(shù)，常用檢測(cè)軟件已很難識(shí)別其危害和入侵方式，從而使網(wǎng)絡(luò)攻擊者可以通過(guò)安全漏洞輕易發(fā)起攻擊。減少軟件安全漏洞從而提高網(wǎng)絡(luò)安全防御能力，已成為網(wǎng)絡(luò)安全領(lǐng)域廣泛共識(shí)。尤其在軟件開(kāi)發(fā)過(guò)程中，通過(guò)靜態(tài)代碼檢測(cè)可以幫助開(kāi)發(fā)人員減少30%-70%的安全漏洞，從根源加強(qiáng)軟件防御能力，大大降低遭到網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。Wukong(悟空)靜態(tài)代碼檢測(cè)工具，從源碼開(kāi)始，為您的軟件安全保駕護(hù)航!

參讀鏈接：

www.woocoom.com/b021.html?i…

www.bleepingcomputer.com/news/securi…