*Um novo bug no Microsoft Windows pode permitir que hackers instalem facilmente um rootkit
Os pesquisadores de segurança revelaram uma fraqueza não corrigida no Microsoft Windows Platform Binary Table (WPBT) que afeta todos os dispositivos baseados no Windows desde o Windows 8 e que pode ser explorada para instalar um rootkit e comprometer a integridade dos dispositivos.
"Essas falhas tornam todos os sistemas Windows vulneráveis a ataques fáceis que instalam tabelas fraudulentas específicas de fornecedores", disseram pesquisadores da Eclypsium em relatório publicado na segunda-feira. "Essas tabelas podem ser exploradas por invasores com acesso físico direto, com acesso remoto ou por meio de cadeias de suprimentos do fabricante. Mais importante, essas falhas no nível da placa-mãe podem evitar iniciativas como Secured-core devido ao uso onipresente de ACPI [Configuração Avançada e Energia Interface] e WPBT. "
O WPBT, lançado com o Windows 8 em 2012, é um recurso que permite "inicialização do firmware para fornecer ao Windows um binário de plataforma que o sistema operacional pode executar".
Em outras palavras, permite que os fabricantes de PC apontem para executáveis portáteis assinados ou outros drivers específicos do fornecedor que vêm como parte da imagem ROM do firmware UEFI de tal maneira que podem ser carregados na memória física durante a inicialização do Windows e antes de executar qualquer código de sistema operacional.
O principal objetivo do WPBT é permitir que recursos críticos, como software anti-roubo, persistam mesmo em cenários onde o sistema operacional foi modificado, formatado ou reinstalado. Mas dada a capacidade da funcionalidade de fazer com que esse software "fique preso ao dispositivo indefinidamente", a Microsoft alertou sobre os riscos potenciais de segurança que podem surgir do uso indevido de WPBT, incluindo a possibilidade de implantar rootkits em máquinas Windows.
"Como esse recurso fornece a capacidade de executar software de sistema persistentemente no contexto do Windows, torna-se crítico que as soluções baseadas em WPBT sejam tão seguras quanto possível e não exponham os usuários do Windows a condições exploráveis", observa o fabricante do Windows em sua documentação. "Em particular, as soluções WPBT não devem incluir malware (ou seja, software malicioso ou software indesejado instalado sem o consentimento adequado do usuário)."
A vulnerabilidade descoberta pela empresa de segurança de firmware corporativo está enraizada no fato de que o mecanismo WPBT pode aceitar um binário assinado com um certificado revogado ou expirado para ignorar completamente a verificação de integridade, permitindo que um invasor assine um binário malicioso com um já disponível certificado expirado e executar código arbitrário com privilégios de kernel quando o dispositivo for inicializado.
Em resposta às descobertas, a Microsoft recomendou o uso de uma política de Controle de Aplicativos do Windows Defender (WDAC) para controlar rigidamente quais binários podem ser executados nos dispositivos.
A última divulgação segue um conjunto separado de descobertas em junho de 2021, que envolveu um conjunto de quatro vulnerabilidades - coletivamente chamadas de BIOS Disconnect - que poderiam ser transformadas em arma para obter execução remota dentro do firmware de um dispositivo durante uma atualização de BIOS, destacando ainda mais a complexidade e desafios envolvidos na proteção do processo de inicialização.
"Esta fraqueza pode ser explorada potencialmente por meio de múltiplos vetores (por exemplo, acesso físico, remoto e cadeia de suprimentos) e por várias técnicas (por exemplo, bootloader malicioso, DMA, etc)", disseram os pesquisadores. "As organizações precisarão considerar esses vetores e empregar uma abordagem em camadas para a segurança para garantir que todas as correções disponíveis sejam aplicadas e identificar quaisquer comprometimentos potenciais aos dispositivos."
Achou esse artigo interessante? Siga canalfsociety em Instagram, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
Postar um comentário