Un gruppo di ricercatori ha scoperto una vulnerabilità in un componente del sistema operativo Microsoft chiamato Windows Platform Binary Table (WPBT) che può facilitare l’insediamento di rootkit su tutti i computer immessi sul mercato a partire dal 2012.
WPBT è una tabella che Microsoft ha introdotto a livello di firmware (ACPI, Advanced Configuration and Power Interface) a partire da Windows 8 e che permette ai produttori di PC l’esecuzione di codice necessario per il funzionamento del sistema ogni volta che la macchina viene avviata.
Poiché WPBT offre gli strumenti per eseguire software a basso livello già prima del caricamento di Windows Microsoft stessa fa presente che le soluzioni software basate su questo meccanismo siano il più sicure possibile evitando di esporre routine in qualche modo sfruttabili da parte di malintenzionati e criminali informatici.
Gli esperti di Eclypsium hanno accertato che eventuali aggressori possono utilizzare varie tecniche che permettono di scrivere nella memoria dove si trovano le tabelle ACPI, WPBT compresa, e usare bootloader malevoli.
L’attacco può avvenire abusando della vulnerabilità BootHole per superare la funzionalità Secure Boot, tornata di grande attualità con Windows 11, o tramite attacchi DMA facendo leva su periferiche o componenti hardware vulnerabili.
Eclypsium ha pubblicato un video dimostrativo dal quale si evince come la falla di sicurezza possa essere sfruttata.
Dopo la segnalazione di Eclypsium, Microsoft sta suggerendo di usare una policy di Windows Defender Application Control (WDAC) che permette di controllare quali binari possono essere eseguiti al boot su un dispositivo Windows.
Le policy WDAC possono essere create solo su Windows 10 versione 1903 e successive, in Windows 11 e su Windows Server 2016 o successivi.
Sui sistemi che eseguono versioni precedenti di Windows è possibile utilizzare AppLocker per stabilire le app la cui esecuzione è consentita su client Windows.
“I professionisti della sicurezza devono identificare, verificare e fortificare il firmware utilizzato sui sistemi Windows“, si osserva da Eclypsium. “Le organizzazioni dovranno considerare questi vettori di attacco e impiegare un approccio a strati al problema della sicurezza“.
Eclypsium ha trovato un altro vettore di attacco che permette ai malware writer di prendere il controllo del processo di avvio di un dispositivo e superare i controlli di sicurezza integrati nella funzione BIOSConnect di Dell SupportAssist.