0
0
Pesquisadores encontraram falha no Microsoft Windows Platform Binary Table (WPBT) que pode ser explorada em ataques fáceis para instalar malwares ocultos
Pesquisadores de segurança encontraram uma falha no Microsoft Windows Platform Binary Table (WPBT) que pode ser explorada em ataques fáceis para instalar rootkits em todos os computadores Windows vendidos desde 2012. Rootkits são ferramentas que operadores de ameaças criam para evitar a detecção, ocultando-se no sistema operacional, e usadas para assumir o controle total dos sistemas comprometidos.
O WPBT é uma tabela fixa de ACPI (configuração avançada e interface de energia) de firmware introduzida pela Microsoft a partir do Windows 8 para permitir que os fornecedores executem programas sempre que um dispositivo for inicializado.
No entanto, além de permitir que OEMs forcem a instalação de software crítico que não pode ser empacotado com a mídia de instalação do Windows, esse mecanismo também pode possibilitar que invasores implantem ferramentas maliciosas, como a Microsoft avisa em sua própria documentação.
“Como esse recurso oferece a capacidade de executar software de sistema de forma persistente no contexto do Windows, torna-se crítico que as soluções baseadas em WPBT sejam as mais seguras possíveis e não exponham os usuários do Windows a condições de exploração”, explica a Microsoft. “Em particular, as soluções WPBT não devem incluir malware, ou seja, software malicioso ou software indesejado instalado sem o consentimento adequado do usuário”, completa a empresa.
A Microsoft diz que a falha impacta todos os computadores que executam o Windows 8 ou posterior. A fraqueza encontrada pelos pesquisadores da empresa de cibersegurança Eclypsium está presente nos computadores Windows desde 2012, quando o recurso foi introduzido pela primeira vez com o Windows 8.
Esses ataques podem usar várias técnicas que permitem a gravação na memória onde as tabelas ACPI (incluindo WPBT) estão localizadas ou usando um bootloader malicioso. Isso pode ocorrer explorando a vulnerabilidade BootHole que ignora a inicialização segura ou via ataques DMA de periféricos ou componentes vulneráveis.
“A equipe de pesquisa do Eclypsium identificou uma fraqueza na capacidade do WPBT da Microsoft que pode permitir que um invasor execute código malicioso com privilégios de kernel quando um dispositivo é inicializado”, disseram os pesquisadores da Eclypsium. “A falha pode ser potencialmente explorada por meio de vários vetores como, por exemplo, acesso físico, remoto e cadeia de suprimentos, e por várias técnicas, como bootloader malicioso, DMA, etc.”
Depois que a empresa informou a Microsoft sobre o bug, a gigante do software recomendou o uso de uma política de controle de aplicativos do Windows Defender, que permite controlar quais binários podem ser executados em um dispositivo Windows. “A política WDAC também é aplicada para binários incluídos no WPBT e deve atenuar esse problema”, afirma a Microsoft no documento de suporte.
As políticas WDAC só podem ser criadas em edições de cliente do Windows 10 1903 e posterior e Windows 11 ou no Windows Server 2016 e posterior. Em sistemas que executam versões mais antigas do Windows, é possível usar políticas AppLocker para controlar quais aplicativos podem ser executados em um cliente Windows.
Segundo a Eclypsium, os profissionais de segurança precisam identificar, verificar e fortalecer o firmware usado em seus sistemas Windows. “As organizações precisam considerar esses vetores e empregar uma abordagem em camadas para a segurança para garantir que todas as correções disponíveis sejam aplicadas e identificar quaisquer comprometimentos potenciais aos dispositivos”, alerta.
FONTE: CISO ADVISOR