微软Windows爆底层高危漏洞,黑客可以轻松安装Rootkit程序

微软Windows爆出底层高危漏洞,黑客可以轻松安装Rootkit程序

Windows操作系统的二进制表 (WPBT) 中爆出一个未修补的漏洞,该漏洞影响自 Windows 8 以来所有基于 Windows 的设备,可能被利用来安装 rootkit 并控制整个设备。

根据网络安全行业门户极牛网GEEKNB.COM的梳理,WPBT是一项新功能,于 2012 年随 Windows 8 一起推出,可实现“启动固件为 Windows 提供操作系统可以执行的平台二进制文件”。

换句话说,它允许 PC 制造商指向签名的便携式可执行文件或其他供应商特定的驱动程序,这些驱动程序作为 UEFI 固件 ROM 映像的一部分,可以在 Windows 初始化期间和执行任何之前加载到物理内存中。

WPBT 的主要目标是即使在修改、格式化或重新安装操作系统的情况下,也允许诸如防盗软件之类的关键功能持续存在。但考虑到该功能能够让此类软件“无限期地固定在设备上”,微软警告称,滥用 WPBT 可能会带来潜在的安全风险,包括在 Windows 机器上被部署 rootkit 的可能性。

微软官方称,由于此功能提供了在 Windows 上下文中持续执行系统软件的能力,因此基于 WPBT 的解决方案尽可能安全并且不会将 Windows 用户暴露于可利用的条件变得至关重要,特别是,WPBT 解决方案不得包含恶意软件(即未经用户充分同意而安装的恶意软件)。

根据网络安全行业门户极牛网GEEKNB.COM的梳理,该漏洞根源在于WPBT机制可以接受带有吊销或过期证书的签名二进制文件,从而完全绕过完整性检查,从而允许攻击者使用已经可用的恶意二进制文件进行签名。过期的证书并在设备启动时使用内核权限运行任意代码。

针对调查结果,Microsoft建议使用 Windows Defender 应用程序控制 (WDAC) 策略来严格限制允许在设备上运行的二进制文件。

根据 2021 年 6 月最新披露的调查结果显示,该漏洞其中涉及四个漏洞(统称为BIOS 断开连接),这些漏洞可以被武器化以在 BIOS 更新期间在设备固件内获得远程执行,进一步突出了复杂性和保护启动过程所涉及的挑战。

安全研究人员称,这一漏洞可能会通过多种途径(例如:物理访问、远程和软件供应链)和多种技术(例如,恶意引导加载程序、DMA 等)被利用。用户将需要考虑这些向量,并采用分层的安全方法来确保应用所有可用的修复程序并识别对设备的任何潜在危害。

 

微软Windows爆底层高危漏洞,黑客可以轻松安装Rootkit程序

极牛网精选文章《微软Windows爆底层高危漏洞,黑客可以轻松安装Rootkit程序》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/16432.html

(30)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
威胁感知的头像威胁感知认证作者
上一篇 2021年9月24日 上午9:31
下一篇 2021年9月24日 下午5:26

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部