Eclypsium – WPBT, Microsoft

Eclypsium обнаружили критическую уязвимость в двоичной таблице платформы Microsoft Windows (WPBT), которую можно использовать для проведения атак и установки руткитов на все компьютеры с Windows, произведенные с 2012 года, когда эта функция была впервые представлена в Windows 8.

WPBT – это таблица ACPI (Advanced Configuration and Power Interface) с фиксированной прошивкой, представленная Microsoft, начиная с Windows 8, и позволяющая OEM-производителям запускать ПО при каждой загрузке устройства.

Поскольку WPBT обеспечивает возможность постоянного выполнения системного программного обеспечения в контексте Windows, решения на основе WPBT с таким же успехом позволяют запустить вредоносный код с привилегиями ядра при загрузке устройства.

adPlace

Ошибка может быть потенциально эксплуатироваться с помощью нескольких векторов (физический доступ, удаленный доступ и цепочка поставок) и несколькими методами, в том числе путем злоупотребления уязвимостью BootHole, посредством DMA-атак с уязвимых периферийных устройств или компонентов.

Как обычно вызывает недоумение позиция Microsoft, рекомендовавшей link использовать политику управления приложениями Защитника Windows WDAC, которая также применяется к двоичным файлам, включенным в WPBT, контролируя их запуск. Но дело этом, что политики WDAC могут быть созданы только в клиентских выпусках Windows 10 1903 и более поздних версий, Windows 11 или Windows Server 2016 и более поздних версий.

Eclypsium в данном случае предложили использовать политики AppLocker, чтобы контролировать, какие приложения разрешено запускать на клиенте Windows. Недостатки на уровне материнской платы могут устранить Secured-core, из-за повсеместного использования ACPI и WPBT.

С учетом вновь выявленной дыры следует идентифицировать, проверять и контролировать микропрограммное обеспечение, используемое в системах Windows, применяя многоуровневый подход к безопасности. На видео ниже вы можете наглядно можете увидеть, как на деле используется уязвимость WPBT