Pesquisadores de segurança encontraram uma falha no Microsoft Windows Platform Binary Table (WPBT) que pode ser explorada para instalar rootkits em todos os computadores com o sistema operacional Windows desde 2012.
Rootkits são ferramentas criadas por cibercriminosos para evitar a detecção, escondendo os ataques no sistema operacional para posteriormente assumir o controle total dos sistemas comprometidos.
WPBT é uma tabela fixa de firmware ACPI (Advanced Configuration and Power Interface) introduzida pela Microsoft a partir do Windows 8 para permitir que os fornecedores executem programas sempre que um dispositivo for inicializado.
No entanto, além de permitir que os fornecedores forcem uma instalação crítica de um software, esse mecanismo também permite que invasores instalem ferramentas maliciosas. A Microsoft deixa isso claro em sua própria documentação:
Como esse recurso oferece a capacidade de executar software de sistema de forma persistente no contexto do Windows, torna-se crítico que as soluções baseadas em WPBT sejam as mais seguras possíveis e não exponham os usuários do Windows a condições exploráveis.
Em particular, as soluções WPBT não devem incluir malware (ou seja, software malicioso ou software indesejado instalado sem o consentimento adequado do usuário).
Todos os computadores com Windows 8 ou posterior são impactados
A vulnerabilidade encontrada pelos pesquisadores do Eclypsium está presente nos computadores com Windows desde 2012, quando o recurso foi introduzido pela primeira vez no Windows 8.
Esses ataques podem usar várias técnicas que permitem a gravação na memória onde as tabelas ACPI (incluindo WPBT) estão localizadas ou usando um bootloader malicioso.
Isso pode ocorrer através da vulnerabilidade BootHole que ignora a inicialização segura ou via ataques DMA de periféricos e componentes vulneráveis. Os pesquisadores do Eclypsium afirmam:
A equipe de pesquisa do Eclypsium identificou uma fraqueza na capacidade WPBT da Microsoft que pode permitir que um invasor execute código malicioso com privilégios de kernel quando um dispositivo é inicializado.
Esta falha pode ser potencialmente explorada por meio de vários vetores (por exemplo, acesso físico, remoto e cadeia de suprimentos) e por várias técnicas (por exemplo, bootloader malicioso, DMA, etc).
Eclypsium compartilhou o vídeo abaixo demonstrando como essa falha de segurança pode ser explorada:
VEJA TAMBÉM: Novas falhas do Windows e do Linux permitem que invasores elevem seus privilégios de sistema
Evite ataques através do uso de políticas WDAC
A Microsoft recomenda utilizar a política de controle de aplicativos do Windows Defender, que permite controlar quais binários podem ser executados em um dispositivo Windows. Em comunicado oficial a empresa diz:
A política WDAC também é aplicada para binários incluídos no WPBT e deve atenuar esse problema.
As políticas WDAC só podem ser criadas em edições de cliente do Windows 10 1903 e posterior, Windows 11 ou no Windows Server 2016 e posterior.
Em sistemas que executam versões mais antigas do Windows, você pode usar políticas AppLocker para controlar quais aplicativos podem ser executados em um cliente Windows. Os pesquisadores da Eclypsium acrescentam:
Essas falhas no nível da placa-mãe podem evitar iniciativas como Secured-core por causa do uso onipresente de ACPI e WPBT.
Os profissionais de segurança precisam identificar, verificar e fortalecer o firmware usado em seus sistemas Windows. As organizações precisarão considerar esses vetores e empregar uma abordagem em camadas para garantir que todas as correções disponíveis sejam aplicadas e identificar quaisquer comprometimentos potenciais aos dispositivos.
O Eclypsium encontrou outro vetor de ataque que permite aos hackers assumir o controle do processo de inicialização de um dispositivo e quebrar os controles de segurança no nível do sistema operacional no recurso BIOSConnect do Dell SupportAssist, um software que vem pré-instalado na maioria dos dispositivos Dell Windows.
Por fim, os pesquisadores revelam:
O problema afeta 129 modelos Dell de laptops, desktops e tablets empresariais, incluindo dispositivos protegidos por Secure Boot e Dell Secured-core PCs, com cerca de 30 milhões de dispositivos individuais expostos a ataques.
Fonte: Bleeping Computer
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
