固件安全公司Eclypsium的安全研究人員在微軟Windows平臺(tái)二進(jìn)制表（WPBT）中發(fā)現(xiàn)了一個(gè)漏洞，可以利用這個(gè)漏洞在2012年以來(lái)發(fā)布的所有Windows電腦上安裝rootkit。Rootkits是一種惡意工具，威脅行為者通過(guò)隱蔽潛伏在操作系統(tǒng)中來(lái)逃避檢測(cè)，并用來(lái)完全接管受害的系統(tǒng)。WPBT是一個(gè)固定的固件ACPI（高級(jí)配置和電源接口）表，由微軟從Windows 8開(kāi)始引入，允許供應(yīng)商在每次設(shè)備啟動(dòng)時(shí)執(zhí)行程序。

　　然而，除了允許OEM廠商強(qiáng)制安裝無(wú)法與Windows安裝介質(zhì)綁定的關(guān)鍵軟件外，這種機(jī)制還允許攻擊者安裝惡意工具，正如微軟在其自己的文檔中警告的那樣。

　　該功能旨在讓oem包含重要的文件、驅(qū)動(dòng)程序或系統(tǒng)可執(zhí)行文件，而不需要修改磁盤(pán)上的Windows映像。聯(lián)想（Lenovo）、華碩（ASUS）等許多廠商都使用了這一技術(shù)。然而，通過(guò)執(zhí)行文件和修改操作系統(tǒng)，這種類(lèi)型的功能可以被視為特定于供應(yīng)商的rootkit。廣受贊譽(yù)的研究員和Windows Internals的合著者，Alex Ionescu，早在2012年就一直在呼吁WPBT作為rootkit的危險(xiǎn)，并一直持續(xù)到今天。

　　微軟解釋說(shuō)：“由于該特性提供了在Windows環(huán)境中持續(xù)執(zhí)行系統(tǒng)軟件的能力，因此，基于WPBT的解決方案盡可能安全、不讓W(xué)indows用戶暴露在可利用條件下就變得至關(guān)重要。”

　　“特別是，WPBT解決方案必須不包括惡意軟件（即惡意軟件或不必要的軟件安裝沒(méi)有充分的用戶同意）?！?/p>

　　影響所有運(yùn)行Windows 8及以上版本的計(jì)算機(jī)

　　Eclypsium公司研究人員發(fā)現(xiàn)，自2012年Windows 8首次引入該功能以來(lái)，Windows電腦上就存在這一缺陷。這些攻擊可以使用各種允許向ACPI表（包括WPBT）所在的內(nèi)存寫(xiě)入數(shù)據(jù)的技術(shù)，或者使用惡意的引導(dǎo)加載程序。

　　這可能是通過(guò)濫用繞過(guò)安全引導(dǎo)的boohole漏洞或通過(guò)來(lái)自脆弱的外圍設(shè)備或組件的DMA（DIRECT MEMORY ACCESS，直接內(nèi)存訪問(wèn)）攻擊造成的。

　　“Eclypsium研究團(tuán)隊(duì)已經(jīng)發(fā)現(xiàn)了微軟WPBT功能的一個(gè)弱點(diǎn)，它可以允許攻擊者在設(shè)備啟動(dòng)時(shí)使用內(nèi)核特權(quán)運(yùn)行惡意代碼，”Eclypsium研究人員說(shuō)。

　　“這種弱點(diǎn)可以通過(guò)多種載體（如物理訪問(wèn)、遠(yuǎn)程和供應(yīng)鏈）和多種技術(shù)（如惡意引導(dǎo)加載程序、DMA等）加以利用。”

　　緩解措施包括使用WDAC政策

　　在Eclypsium告知微軟這個(gè)漏洞后，軟件巨頭建議使用Windows防衛(wèi)應(yīng)用程序控制策略（WDAC），允許控制哪些二進(jìn)制文件可以在Windows設(shè)備上運(yùn)行。

　　微軟在支持文檔中表示：“WDAC策略也對(duì)WPBT中包含的二進(jìn)制文件實(shí)施，應(yīng)該可以緩解這個(gè)問(wèn)題?！?/p>

　　WDAC策略只能在Windows 10 1903及更高版本、Windows 11或Windows Server 2016及更高版本的客戶端上創(chuàng)建。

　　在運(yùn)行舊版本W(wǎng)indows的系統(tǒng)上，你可以使用AppLocker策略來(lái)控制哪些應(yīng)用程序可以在Windows客戶端上運(yùn)行。

　　Eclypsium的研究人員補(bǔ)充說(shuō)：“由于ACPI和WPBT的普遍使用，這些主板級(jí)別的缺陷可以避免Secured-core這樣的舉措?！?/p>

　　“安全專業(yè)人員需要識(shí)別、驗(yàn)證和加強(qiáng)Windows系統(tǒng)中使用的固件。組織需要考慮這些向量，并采用分層的安全方法，以確保所有可用的修復(fù)程序都得到應(yīng)用，并識(shí)別任何對(duì)設(shè)備的潛在危害?！?/p>

　　Eclypsium發(fā)現(xiàn)了另一種攻擊載體，允許威脅行為者控制目標(biāo)設(shè)備的引導(dǎo)過(guò)程，并破壞Dell SupportAssist的BIOSConnect特性中的操作系統(tǒng)級(jí)安全控制。Dell SupportAssist是一種在大多數(shù)戴爾Windows設(shè)備上預(yù)先安裝的軟件。

　　正如研究人員所揭示的那樣，這個(gè)問(wèn)題“影響了129種戴爾型號(hào)的消費(fèi)和商業(yè)筆記本電腦、臺(tái)式機(jī)和平板電腦，包括受安全啟動(dòng)保護(hù)的設(shè)備和戴爾安全核個(gè)人電腦”，大約有3000萬(wàn)臺(tái)個(gè)人設(shè)備暴露在攻擊之下。

　　三個(gè)月前，Dell電腦的漏洞已有報(bào)道。3000萬(wàn)Dell PC用戶當(dāng)心：你已被黑客瞄準(zhǔn)