安全研究人員在Microsoft Windows平臺二進制表 (WPBT) 中發現了一個漏洞,可以利用這個漏洞在2012年以來發布的所有Windows電腦上安裝rootkit。
Rootkit是威脅行為者創建的惡意工具,旨在通過深入操作系統來逃避檢測,并用于在逃避檢測的同時完全接管受感染的系統。
WPBT是一個固定的固件ACPI(高級配置和電源接口)表,由微軟從Windows 8開始引入,允許供應商在每次設備啟動時執行程序。
然而,除了使OEM能夠強制安裝無法與Windows安裝介質捆綁的關鍵軟件之外,這種機制還可以允許攻擊者部署惡意工具,正如微軟在其文檔中所警告的那樣。
微軟解釋說:“由于該特性提供了在Windows環境中持續執行系統軟件的能力,因此,基于wpbt的解決方案盡可能安全、不讓Windows用戶暴露在可利用條件下變得至關重要。”
“特別是,WPBT解決方案不得包含惡意軟件(即未經用戶充分同意而安裝的惡意軟件或不需要的軟件)。”
影響所有運行Windows 8或更高版本的計算機
eclipse研究人員發現,自2012年Windows 8首次引入該功能以來,Windows電腦上就存在這一缺陷。
這些攻擊可以使用各種技術,允許寫入ACPI表(包括 WPBT)所在的內存或使用惡意引導加載程序。
這可以通過濫用BootHole漏洞繞過安全啟動或通過來自易受攻擊的外圍設備或組件的DMA攻擊來實現。
Eclypsium研究人員表示:“Eclypsium 研究團隊發現了微軟WPBT功能的一個弱點,該弱點可能允許攻擊者在設備啟動時以內核權限運行惡意代碼。”
“這個弱點可能會通過多種途徑(例如物理訪問、遠程和供應鏈)和多種技術(例如惡意引導加載程序、DMA 等)被利用。”
緩解措施包括使用WDAC政策
在Eclypsium告知微軟這個漏洞后,微軟建議使用Windows防衛應用程序控制策略,允許控制哪些二進制文件可以在Windows設備上運行。
“WDAC策略也適用于WPBT中包含的二進制文件,應該可以緩解這個問題,”微軟在支持文檔中表示。
WDAC策略只能在Windows 10 1903及更高版本和Windows 11或Windows Server 2016 及更高版本的客戶端版本上創建。
在運行較舊Windows版本的系統上,可使用AppLocker策略來控制允許哪些應用在 Windows客戶端上運行。
Eclypsium安全研究人員補充說:“由于ACPI和WPBT的普遍使用,這些主板級缺陷可以避免像Secured-core這樣的計劃。”
“安全專業人員需要識別、驗證和強化其Windows系統中使用的固件。企業需要考慮這些向量,并采用分層的安全方法來確保應用所有可用的修復程序都得到應用,并識別任何對設備的潛在危害。”
Eclypsium發現了另一種攻擊向量,允許威脅行為者控制目標設備的啟動過程,并破壞Dell SupportAssist的BIOSConnect功能中的操作系統級安全控制,該軟件預裝在大多數戴爾Windows設備上。
正如研究人員透露的那樣,該問題“影響了129款戴爾型號的消費和商務筆記本電腦、臺式機和平板電腦,包括受安全啟動和戴爾安全核心PC保護的設備”,大約有3000萬臺個人設備暴露在攻擊之下。
軟件中的安全漏洞使設備使用者置身危險當中,而對于廣泛被應用的軟件更可能造成影響嚴重的軟件供應鏈攻擊。隨著惡意軟件不斷提高攻擊手段和技術,常用檢測軟件已很難識別其危害和入侵方式,從而使網絡攻擊者可以通過安全漏洞輕易發起攻擊。減少軟件安全漏洞從而提高網絡安全防御能力,已成為網絡安全領域廣泛共識。尤其在軟件開發過程中,通過靜態代碼檢測可以幫助開發人員減少30%-70%的安全漏洞,從根源加強軟件防御能力,大大降低遭到網絡攻擊的風險。Wukong(悟空)靜態代碼檢測工具,從源碼開始,為您的軟件安全保駕護航!
參讀鏈接:
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/121553.html