Forskare vid Eclypsium har hittat ett fel i Microsofts WPBT-firmware, vilket gör att angripare kan installera rootkits i enhetens operativsystem.
Forskare har också sagt att denna sårbarhet påverkar alla system som kör Windows 8 och senare och kan mildras genom att kontrollera vilka binärer som kan köras på Windows-systemen.
Ett fel i Windows-datorer sedan 2012
Även om det är lätt att lösa buggar i programvara från tredje part, är det svårt eller nästan omöjligt att mildra buggar i firmware och hårdvara. Således är det bästa man kan göra för att identifiera källan och blockera den för att förbli immun.
En sådan sårbarhet är upptäckt av Eclypsium-forskare i Windows Platform Binary Table, som angripare kan utnyttja för att installera rootkits och fortsätta för ytterligare förklaringar.
Windows-plattform binär tabell (WPBT) är en fast firmware Advanced Configuration and Power Interface (ACPI), som tillåter leverantörer att köra systemstartprogram. Detta hjälper till att tillhandahålla viktiga uppdateringar för att korrigera buggar, som måste köras under uppstart.
Samtidigt kan det också vara till hjälp för angripare att utnyttja en Windows-maskin till kärnan, eftersom de kan utnyttja alla startsårbarheter med kärnåtkomst och skriva sina skadliga program till kärnoperativsystemet.
Eclypsium-forskare sa att angripare kunde utnyttja detta på olika sätt som fysisk åtkomst, fjärrkontroll och leveranskedja) och med flera tekniker (t.ex. skadlig bootloader, DMA, etc.).
Denna sårbarhet påverkar Windows-system som kör 8 och senare, som när Microsoft introducerade Windows Platform Binary Table. Detta innebär att alla Windows-system som körts sedan 2012 kan påverkas och måste säkras.
Genom att informera Microsoft om detta har Windows-tillverkaren föreslagit en tunn lösning – genom att använda Windows Defender Application Control Policy. Användare bör använda WDAC-policyn för att kontrollera vilka binärer som kan använda Windows-klienten.
Denna policy är tillgänglig i Windows 10 1903 och senare och Windows 11 eller Windows Server 2016 och senare. Och på Windows-system som kör äldre versioner kan AppLocker-policyer användas för att kontrollera detsamma.