Οι ερευνητές ασφαλείας βρήκαν ένα ελάττωμα στον δυαδικό πίνακα Microsoft Windows Platform (WPBT) που θα μπορούσε να αξιοποιηθεί σε εύκολες επιθέσεις για την εγκατάσταση rootkits σε όλους τους υπολογιστές Windows που έχουν κυκλοφορήσει από το 2012.
Δείτε επίσης: Πώς να κατεβάσετε και να χρησιμοποιήσετε το Microsoft Word δωρεάν
Τα rootkits είναι κακόβουλα εργαλεία που δημιουργούν οι χάκερ για να αποφύγουν την ανίχνευση. Τα εργαλεία βυθίζονται βαθιά στο λειτουργικό σύστημα και χρησιμοποιούνται για την πλήρη ανάληψη παραβιασμένων συστήματων ενώ δεν είναι εύκολο να εντοπιστούν.
Το WPBT είναι ένας σταθερός πίνακας firmware ACPI (Advanced Configuration and Power Interface) που εισήχθη από τη Microsoft ξεκινώντας από τα Windows 8 για να επιτρέπει στους προμηθευτές να εκτελούν προγράμματα κάθε φορά που μια συσκευή κάνει εκκίνηση.
Ωστόσο, εκτός από τη δυνατότητα στις OEMs να υποχρεώνουν την εγκατάσταση κρίσιμου λογισμικού που δεν μπορεί να συνδυαστεί με μέσα εγκατάστασης των Windows, αυτός ο μηχανισμός μπορεί να επιτρέψει στους εισβολείς να αναπτύξουν κακόβουλα εργαλεία, όπως προειδοποιεί η Microsoft στην αναφορά της.
Δείτε επίσης: Microsoft Exchange Autodiscover: Bugs διαρρέουν Windows credentials
Επηρεάζει όλους τους υπολογιστές με Windows 8 ή νεότερη έκδοση
Η αδυναμία που διαπιστώθηκε από τους ερευνητές του Eclypsium υπάρχει στους υπολογιστές Windows που έχουν κυκλοφορήσει από το 2012, όταν η λειτουργία παρουσιάστηκε για πρώτη φορά με τα Windows 8.
Αυτές οι επιθέσεις μπορούν να χρησιμοποιήσουν διάφορες τεχνικές που επιτρέπουν την εγγραφή στη μνήμη όπου βρίσκονται πίνακες ACPI (συμπεριλαμβανομένου του WPBT) ή χρησιμοποιώντας ένα κακόβουλο bootloader.
Αυτό μπορεί να γίνει με κατάχρηση της ευπάθειας BootHole που παρακάμπτει το Secure Boot ή μέσω επιθέσεων DMA από ευάλωτα περιφερειακά ή components.
Η Eclypsium μοιράστηκε το ακόλουθο βίντεο επίδειξης που δείχνει πώς μπορεί να αξιοποιηθεί αυτό το ελάττωμα ασφαλείας.
Δείτε επίσης: Microsoft: Διαγράψτε αμέσως τα passwords στα Windows 10
Τα μέτρα mitigation περιλαμβάνουν τη χρήση πολιτικών WDAC
Αφού το Eclypsium ενημέρωσε τη Microsoft για το σφάλμα, η γιγαντιαία εταιρεία λογισμικού συνέστησε τη χρήση πολιτικής ελέγχου εφαρμογών του Windows Defender που επιτρέπει τον έλεγχο των δυαδικών αρχείων που μπορούν να εκτελεστούν σε μια συσκευή Windows.
“Η πολιτική WDAC εφαρμόζεται και για δυαδικά αρχεία που περιλαμβάνονται στο WPBT και θα πρέπει να μετριάσει αυτό το ζήτημα”, αναφέρει η Microsoft στο έγγραφο υποστήριξης.
Οι πολιτικές WDAC μπορούν να δημιουργηθούν μόνο σε εκδόσεις client των Windows 10 1903 και νεότερες εκδόσεις και Windows 11 ή σε Windows Server 2016 και νεότερες εκδόσεις.
Σε συστήματα που εκτελούν παλαιότερες εκδόσεις Windows, μπορείτε να χρησιμοποιήσετε πολιτικές AppLocker για να ελέγξετε ποιες εφαρμογές επιτρέπεται να εκτελούνται σε client Windows.
Πηγή πληροφοριών: bleepingcomputer.com
 που θα μπορούσε να αξιοποιηθεί σε επιθέσεις){kind=link}