安全研究人員在Microsoft Windows平臺二進(jìn)制表 (WPBT) 中發(fā)現(xiàn)了一個漏洞,可以利用這個漏洞在2012年以來發(fā)布的所有Windows電腦上安裝rootkit。
Rootkit是威脅行為者創(chuàng)建的惡意工具,旨在通過深入操作系統(tǒng)來逃避檢測,并用于在逃避檢測的同時完全接管受感染的系統(tǒng)。
WPBT是一個固定的固件ACPI(高級配置和電源接口)表,由微軟從Windows 8開始引入,允許供應(yīng)商在每次設(shè)備啟動時執(zhí)行程序。
然而,除了使OEM能夠強(qiáng)制安裝無法與Windows安裝介質(zhì)捆綁的關(guān)鍵軟件之外,這種機(jī)制還可以允許攻擊者部署惡意工具,正如微軟在其文檔中所警告的那樣。
微軟解釋說:“由于該特性提供了在Windows環(huán)境中持續(xù)執(zhí)行系統(tǒng)軟件的能力,因此,基于wpbt的解決方案盡可能安全、不讓W(xué)indows用戶暴露在可利用條件下變得至關(guān)重要。”
“特別是,WPBT解決方案不得包含惡意軟件(即未經(jīng)用戶充分同意而安裝的惡意軟件或不需要的軟件)。”
影響所有運(yùn)行Windows 8或更高版本的計算機(jī)
eclipse研究人員發(fā)現(xiàn),自2012年Windows 8首次引入該功能以來,Windows電腦上就存在這一缺陷。
這些攻擊可以使用各種技術(shù),允許寫入ACPI表(包括 WPBT)所在的內(nèi)存或使用惡意引導(dǎo)加載程序。
這可以通過濫用BootHole漏洞繞過安全啟動或通過來自易受攻擊的外圍設(shè)備或組件的DMA攻擊來實現(xiàn)。
Eclypsium研究人員表示:“Eclypsium 研究團(tuán)隊發(fā)現(xiàn)了微軟WPBT功能的一個弱點(diǎn),該弱點(diǎn)可能允許攻擊者在設(shè)備啟動時以內(nèi)核權(quán)限運(yùn)行惡意代碼。”
“這個弱點(diǎn)可能會通過多種途徑(例如物理訪問、遠(yuǎn)程和供應(yīng)鏈)和多種技術(shù)(例如惡意引導(dǎo)加載程序、DMA 等)被利用。”
緩解措施包括使用WDAC政策
在Eclypsium告知微軟這個漏洞后,微軟建議使用Windows防衛(wèi)應(yīng)用程序控制策略,允許控制哪些二進(jìn)制文件可以在Windows設(shè)備上運(yùn)行。
“WDAC策略也適用于WPBT中包含的二進(jìn)制文件,應(yīng)該可以緩解這個問題,”微軟在支持文檔中表示。
WDAC策略只能在Windows 10 1903及更高版本和Windows 11或Windows Server 2016 及更高版本的客戶端版本上創(chuàng)建。
在運(yùn)行較舊Windows版本的系統(tǒng)上,可使用AppLocker策略來控制允許哪些應(yīng)用在 Windows客戶端上運(yùn)行。
Eclypsium安全研究人員補(bǔ)充說:“由于ACPI和WPBT的普遍使用,這些主板級缺陷可以避免像Secured-core這樣的計劃。”
“安全專業(yè)人員需要識別、驗證和強(qiáng)化其Windows系統(tǒng)中使用的固件。企業(yè)需要考慮這些向量,并采用分層的安全方法來確保應(yīng)用所有可用的修復(fù)程序都得到應(yīng)用,并識別任何對設(shè)備的潛在危害。”
Eclypsium發(fā)現(xiàn)了另一種攻擊向量,允許威脅行為者控制目標(biāo)設(shè)備的啟動過程,并破壞Dell SupportAssist的BIOSConnect功能中的操作系統(tǒng)級安全控制,該軟件預(yù)裝在大多數(shù)戴爾Windows設(shè)備上。
正如研究人員透露的那樣,該問題“影響了129款戴爾型號的消費(fèi)和商務(wù)筆記本電腦、臺式機(jī)和平板電腦,包括受安全啟動和戴爾安全核心PC保護(hù)的設(shè)備”,大約有3000萬臺個人設(shè)備暴露在攻擊之下。
軟件中的安全漏洞使設(shè)備使用者置身危險當(dāng)中,而對于廣泛被應(yīng)用的軟件更可能造成影響嚴(yán)重的軟件供應(yīng)鏈攻擊。隨著惡意軟件不斷提高攻擊手段和技術(shù),常用檢測軟件已很難識別其危害和入侵方式,從而使網(wǎng)絡(luò)攻擊者可以通過安全漏洞輕易發(fā)起攻擊。減少軟件安全漏洞從而提高網(wǎng)絡(luò)安全防御能力,已成為網(wǎng)絡(luò)安全領(lǐng)域廣泛共識。尤其在軟件開發(fā)過程中,通過靜態(tài)代碼檢測可以幫助開發(fā)人員減少30%-70%的安全漏洞,從根源加強(qiáng)軟件防御能力,大大降低遭到網(wǎng)絡(luò)攻擊的風(fēng)險。Wukong(悟空)靜態(tài)代碼檢測工具,從源碼開始,為您的軟件安全保駕護(hù)航!
參讀鏈接:
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/121553.html