微软Windows平台二进制表(WPBT)发现新漏洞

漏洞公布 小布 207浏览 0评论

Eclypsium 的研究人员在 Microsoft Windows 平台二进制表 (WPBT) 中发现的漏洞可用于攻击,旨在在 2012 年以来交付的所有 Windows 计算机上安装 rootkit。

Rootkit是一种恶意计算机程序,它会渗透到机器中以获得管理员或系统级别的权限。

Rootkit 的主要目的是在有害负载到达之前绕过用户身份验证措施,尽管它们具有明显的秘密行为(即,它们经常与特洛伊木马或其他类型的病毒一起工作)。

什么是WPBT?

Windows 平台二进制表是一个固定的固件 ACPI  (高级配置和电源接口)表。

它由 Microsoft 在 Windows 8 中引入,目的是允许其供应商在每次设备启动时执行程序。

该机制非常重要,因为它可以使 OEM 强制安装无法与 Windows 安装介质捆绑在一起的关键软件。

不幸的是,该机制可能允许攻击者部署恶意工具。

由于此功能提供了在 Windows 上下文中持续执行系统软件的能力,因此基于 WPBT 的解决方案尽可能安全并且不会将 Windows 用户暴露于可利用的条件变得至关重要。特别是,WPBT 解决方案不得包含恶意软件(即,未经用户充分同意而安装的恶意软件或不需要的软件)。

所有运行 Windows 8 或更高版本的计算机处于危险之中

攻击可以使用各种技术,允许写入 ACPI 表(包括 WPBT)所在的内存或使用恶意引导加载程序,因为BootHole 漏洞很容易被滥用。

Eclypsium 研究团队发现了微软 WPBT 功能中的一个弱点,攻击者可以利用该弱点在设备启动时运行具有内核权限的恶意代码。这种弱点可能会通过多种途径(例如物理访问、远程和供应链)和多种技术(例如恶意引导加载程序、DMA 等)被利用。

研究人员将漏洞告知微软

Microsoft 建议使用 Windows Defender 应用程序控制策略 ,允许用户控制哪些二进制文件可以在 Windows 设备上运行。

通常,建议能够使用 WDAC 而不是 AppLocker 实现应用程序控制的客户这样做。WDAC 正在不断改进,并将从 Microsoft 管理平台获得更多支持。尽管 AppLocker 将继续收到安全修复程序,但它不会进行新的功能改进。

来源

AppLocker 还可以作为 WDAC 的补充进行部署,为共享设备方案添加特定于用户或组的规则,在这种情况下,防止某些用户运行特定应用程序很重要。作为最佳实践,您应该在组织中尽可能限制性的级别上实施 WDAC,然后您可以使用 AppLocker 进一步微调限制。

如果您的系统运行任何较旧的 Windows 版本,您可以使用 AppLocker 策略来控制允许哪些应用程序在 Windows 客户端上运行。

安全专业人员需要识别、验证和强化其 Windows 系统中使用的固件。组织需要考虑这些向量,并采用分层的安全方法来确保应用所有可用的修复程序并识别对设备的任何潜在危害。

转载请注明:布尔云安的博客 » 微软Windows平台二进制表(WPBT)发现新漏洞

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址