Los investigadores de seguridad han encontrado una falla en la Tabla Binaria de la Plataforma de Microsoft Windows (WPBT) que podría explotarse para instalar rootkits en todas las computadoras que ejecutan el sistema operativo Windows desde 2012.
Los rootkits son herramientas creadas por los ciberdelincuentes para evadir la detección al ocultar ataques en el sistema operativo para luego tomar el control total de los sistemas comprometidos.
WPBT es una tabla fija de firmware de Interfaz de Energía y Configuración Avanzada (ACPI - Advanced Configuration and Power Interface) introducido por Microsoft a partir de Windows 8 para permitir que los proveedores ejecuten programas cada vez que se inicia un dispositivo.
Sin embargo, además de permitir a los proveedores forzar la instalación de un software crítico, este mecanismo también permite a los atacantes instalar herramientas maliciosas. Microsoft deja esto claro en su propia documentación:
Dado que esta función ofrece la capacidad de ejecutar de forma persistente el software del sistema en el contexto de Windows, es fundamental que las soluciones basadas en WPBT sean lo más seguras posible y no expongan a los usuarios de Windows a condiciones de explotación.
En particular, las soluciones WPBT no deben incluir malware (es decir, software malicioso o software no deseado instalado sin el consentimiento del usuario adecuado).
Todas las computadoras que ejecutan Windows 8 o posterior se ven afectadas
La vulnerabilidad encontrada por los investigadores de Eclypsium ha estado presente en computadoras con Windows desde 2012, cuando la función se introdujo por primera vez en Windows 8.
Estos ataques pueden usar varias técnicas que permiten escribir en la memoria donde se encuentran las tablas ACPI (incluido WPBT) o usar un cargador de arranque malicioso.
Esto puede ocurrir a través de la vulnerabilidad BootHole que evita el arranque seguro o mediante ataques DMA desde periféricos y componentes vulnerables. Los investigadores del eclypsium afirman:
El equipo de investigación de Eclypsium ha identificado una debilidad en la capacidad WPBT de Microsoft que podría permitir a un atacante ejecutar código malicioso con privilegios del kernel cuando se inicia un dispositivo.
Esta falla puede potencialmente explotarse a través de varios vectores (por ejemplo, acceso físico, remoto y cadena de suministro) y mediante diversas técnicas (por ejemplo, cargador de arranque malicioso, DMA, etc.).
Eclypsium compartió el video a continuación que demuestra cómo se puede explotar esta falla de seguridad:
Prevenga ataques mediante el uso de políticas WDAC
Microsoft recomienda utilizar la Política de control de aplicaciones de Windows Defender, que le permite controlar qué archivos binarios se pueden ejecutar en un dispositivo Windows. En un comunicado oficial, la empresa dice:
La política de WDAC también se aplica a los binarios incluidos en WPBT y debe aliviar este problema.
Las políticas de WDAC solo se pueden crear en ediciones de cliente de Windows 10 1903 y posteriores, Windows 11 o Windows Server 2016 y posteriores.
En los sistemas que ejecutan versiones anteriores de Windows, puede usar las políticas de AppLocker para controlar qué aplicaciones se pueden ejecutar en un cliente de Windows. Los investigadores del eclypsium añaden:
Estas fallas a nivel de la placa base pueden evitar iniciativas como Secured-core debido al uso omnipresente de ACPI y WPBT.
Los profesionales de la seguridad necesitan identificar, verificar y reforzar el firmware utilizado en sus sistemas Windows. Las organizaciones deberán considerar estos vectores y emplear un enfoque en capas para garantizar que se apliquen todas las correcciones disponibles e identificar cualquier posible compromiso de los dispositivos.
O Eclypsium encontrou outro vetor de ataque que permite aos hackers assumir o controle do processo de inicialização de um dispositivo e quebrar os controles de segurança no nível do sistema operacional no recurso BIOSConnect do Dell SupportAssist, um software que vem pré-instalado na maioria dos dispositivos Dell Windows.
Eclypsium ha encontrado otro vector de ataque que permite a los piratas informáticos tomar el control del proceso de arranque de un dispositivo y romper los controles de seguridad a nivel del sistema operativo en la función BIOSConnect de Dell SupportAssist, software que viene preinstalado en la mayoría de los dispositivos Dell Windows.
Finalmente, los investigadores revelan:
El problema afecta a 129 modelos Dell de laptops, computadoras de escritorio y tabletas para empresas, incluidos los dispositivos protegidos con Secure Boot y Dell Secured-core, con casi 30 millones de dispositivos individuales expuestos a ataques.
Fuente: Bleeping Computer
Cuente con International IT para proteger a su empresa de los ciberataques con lo mejor del mercado.
Descubra nuestras soluciones avanzadas, robustas y seguras para NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
