安全研究人员在Microsoft Windows平台二进制表 (WPBT) 中发现了一个漏洞，可以利用这个漏洞在2012年以来发布的所有Windows电脑上安装rootkit。

Rootkit是威胁行为者创建的恶意工具，旨在通过深入操作系统来逃避检测，并用于在逃避检测的同时完全接管受感染的系统。

WPBT是一个固定的固件ACPI(高级配置和电源接口)表，由微软从Windows 8开始引入，允许供应商在每次设备启动时执行程序。

然而，除了使OEM能够强制安装无法与Windows安装介质捆绑的关键软件之外，这种机制还可以允许攻击者部署恶意工具，正如微软在其文档中所警告的那样。

微软解释说:“由于该特性提供了在Windows环境中持续执行系统软件的能力，因此，基于wpbt的解决方案尽可能安全、不让Windows用户暴露在可利用条件下变得至关重要。”

“特别是，WPBT解决方案不得包含恶意软件(即未经用户充分同意而安装的恶意软件或不需要的软件)。”

影响所有运行Windows 8或更高版本的计算机

eclipse研究人员发现，自2012年Windows 8首次引入该功能以来，Windows电脑上就存在这一缺陷。

这些攻击可以使用各种技术，允许写入ACPI表(包括 WPBT)所在的内存或使用恶意引导加载程序。

这可以通过滥用BootHole漏洞绕过安全启动或通过来自易受攻击的外围设备或组件的DMA攻击来实现。

Eclypsium研究人员表示：“Eclypsium 研究团队发现了微软WPBT功能的一个弱点，该弱点可能允许攻击者在设备启动时以内核权限运行恶意代码。”

“这个弱点可能会通过多种途径(例如物理访问、远程和供应链)和多种技术(例如恶意引导加载程序、DMA 等)被利用。”

缓解措施包括使用WDAC政策

在Eclypsium告知微软这个漏洞后，微软建议使用Windows防卫应用程序控制策略，允许控制哪些二进制文件可以在Windows设备上运行。

“WDAC策略也适用于WPBT中包含的二进制文件，应该可以缓解这个问题，”微软在支持文档中表示。

WDAC策略只能在Windows 10 1903及更高版本和Windows 11或Windows Server 2016 及更高版本的客户端版本上创建。

在运行较旧Windows版本的系统上，可使用AppLocker策略来控制允许哪些应用在 Windows客户端上运行。

Eclypsium安全研究人员补充说：“由于ACPI和WPBT的普遍使用，这些主板级缺陷可以避免像Secured-core这样的计划。”

“安全专业人员需要识别、验证和强化其Windows系统中使用的固件。企业需要考虑这些向量，并采用分层的安全方法来确保应用所有可用的修复程序都得到应用，并识别任何对设备的潜在危害。”

Eclypsium发现了另一种攻击向量，允许威胁行为者控制目标设备的启动过程，并破坏Dell SupportAssist的BIOSConnect功能中的操作系统级安全控制，该软件预装在大多数戴尔Windows设备上。

正如研究人员透露的那样，该问题“影响了129款戴尔型号的消费和商务笔记本电脑、台式机和平板电脑，包括受安全启动和戴尔安全核心PC保护的设备”，大约有3000万台个人设备暴露在攻击之下。

软件中的安全漏洞使设备使用者置身危险当中，而对于广泛被应用的软件更可能造成影响严重的软件供应链攻击。随着恶意软件不断提高攻击手段和技术，常用检测软件已很难识别其危害和入侵方式，从而使网络攻击者可以通过安全漏洞轻易发起攻击。减少软件安全漏洞从而提高网络安全防御能力，已成为网络安全领域广泛共识。尤其在软件开发过程中，通过静态代码检测可以帮助开发人员减少30%-70%的安全漏洞，从根源加强软件防御能力，大大降低遭到网络攻击的风险。

参读链接：

https://www.woocoom.com/b021.html?id=d300c8c2733b4c80b71502676e9b6902

https://www.bleepingcomputer.com/news/security/microsoft-wpbt-flaw-lets-hackers-install-rootkits-on-windows-devices/

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课