固件安全公司Eclypsium的安全研究人員在微軟Windows平臺二進制表（WPBT）中發(fā)現了一個漏洞，可以利用這個漏洞在2012年以來發(fā)布的所有Windows電腦上安裝rootkit。Rootkits是一種惡意工具，威脅行為者通過隱蔽潛伏在操作系統中來逃避檢測，并用來完全接管受害的系統。WPBT是一個固定的固件ACPI（高級配置和電源接口）表，由微軟從Windows 8開始引入，允許供應商在每次設備啟動時執(zhí)行程序。

　　然而，除了允許OEM廠商強制安裝無法與Windows安裝介質綁定的關鍵軟件外，這種機制還允許攻擊者安裝惡意工具，正如微軟在其自己的文檔中警告的那樣。

　　該功能旨在讓oem包含重要的文件、驅動程序或系統可執(zhí)行文件，而不需要修改磁盤上的Windows映像。聯想（Lenovo）、華碩（ASUS）等許多廠商都使用了這一技術。然而，通過執(zhí)行文件和修改操作系統，這種類型的功能可以被視為特定于供應商的rootkit。廣受贊譽的研究員和Windows Internals的合著者，Alex Ionescu，早在2012年就一直在呼吁WPBT作為rootkit的危險，并一直持續(xù)到今天。

　　微軟解釋說：“由于該特性提供了在Windows環(huán)境中持續(xù)執(zhí)行系統軟件的能力，因此，基于WPBT的解決方案盡可能安全、不讓Windows用戶暴露在可利用條件下就變得至關重要。”

　　“特別是，WPBT解決方案必須不包括惡意軟件（即惡意軟件或不必要的軟件安裝沒有充分的用戶同意）。”

　　影響所有運行Windows 8及以上版本的計算機

　　Eclypsium公司研究人員發(fā)現，自2012年Windows 8首次引入該功能以來，Windows電腦上就存在這一缺陷。這些攻擊可以使用各種允許向ACPI表（包括WPBT）所在的內存寫入數據的技術，或者使用惡意的引導加載程序。

　　這可能是通過濫用繞過安全引導的boohole漏洞或通過來自脆弱的外圍設備或組件的DMA（DIRECT MEMORY ACCESS，直接內存訪問）攻擊造成的。

　　“Eclypsium研究團隊已經發(fā)現了微軟WPBT功能的一個弱點，它可以允許攻擊者在設備啟動時使用內核特權運行惡意代碼，”Eclypsium研究人員說。

　　“這種弱點可以通過多種載體（如物理訪問、遠程和供應鏈）和多種技術（如惡意引導加載程序、DMA等）加以利用。”

　　緩解措施包括使用WDAC政策

　　在Eclypsium告知微軟這個漏洞后，軟件巨頭建議使用Windows防衛(wèi)應用程序控制策略（WDAC），允許控制哪些二進制文件可以在Windows設備上運行。

　　微軟在支持文檔中表示：“WDAC策略也對WPBT中包含的二進制文件實施，應該可以緩解這個問題。”

　　WDAC策略只能在Windows 10 1903及更高版本、Windows 11或Windows Server 2016及更高版本的客戶端上創(chuàng)建。

　　在運行舊版本Windows的系統上，你可以使用AppLocker策略來控制哪些應用程序可以在Windows客戶端上運行。

　　Eclypsium的研究人員補充說：“由于ACPI和WPBT的普遍使用，這些主板級別的缺陷可以避免Secured-core這樣的舉措。”

　　“安全專業(yè)人員需要識別、驗證和加強Windows系統中使用的固件。組織需要考慮這些向量，并采用分層的安全方法，以確保所有可用的修復程序都得到應用，并識別任何對設備的潛在危害。”

　　Eclypsium發(fā)現了另一種攻擊載體，允許威脅行為者控制目標設備的引導過程，并破壞Dell SupportAssist的BIOSConnect特性中的操作系統級安全控制。Dell SupportAssist是一種在大多數戴爾Windows設備上預先安裝的軟件。

　　正如研究人員所揭示的那樣，這個問題“影響了129種戴爾型號的消費和商業(yè)筆記本電腦、臺式機和平板電腦，包括受安全啟動保護的設備和戴爾安全核個人電腦”，大約有3000萬臺個人設備暴露在攻擊之下。

　　三個月前，Dell電腦的漏洞已有報道。3000萬Dell PC用戶當心：你已被黑客瞄準