微软Windows中的一个新漏洞可以让黑客轻松安装Rootkit

安全研究人员透露，Microsoft Windows Platform Binary Table（WPBT）中存在一个未修补的漏洞，该漏洞会影响自Windows 8以来所有基于Windows的设备，可能会被利用来安装rootkit并损害设备的完整性。

Eclypsium的研究人员在周一发布的一份报告中说：“这些缺陷使得每个Windows系统都容易受到精心设计的攻击，这些攻击安装了欺诈性的供应商特定表。”。“通过直接物理访问、远程访问或通过制造商供应链，攻击者可以利用这些表进行攻击。更重要的是，由于ACPI（高级配置和电源接口）和WPBT的普遍使用，这些主板级缺陷可以避免像Secured core这样的计划。”

WPBT是Windows 8于2012年推出的一项功能，它支持“引导固件为Windows提供操作系统可以执行的平台二进制文件”

换句话说，它允许PC制造商指向作为UEFI固件ROM映像一部分的签名便携式可执行文件或其他特定于供应商的驱动程序，以便在Windows初始化期间和执行任何操作系统代码之前将其加载到物理内存中。

WPBT的主要目标是，即使在操作系统已被修改、格式化或重新安装的情况下，也能让防盗软件等关键功能保持不变。但考虑到该功能能够让此类软件“无限期地粘在设备上”，微软已经警告，滥用WPBT可能会带来潜在的安全风险，包括在Windows机器上部署Rootkit的可能性。

Windows maker在其文档中指出：“由于该功能提供了在Windows环境下持续执行系统软件的能力，因此基于WPBT的解决方案必须尽可能安全，并且不让Windows用户暴露在可利用的条件下。”。“尤其是，WPBT解决方案不得包含恶意软件（即未经充分用户同意安装的恶意软件或不需要的软件）。”

企业固件安全公司发现的漏洞源于这样一个事实，即WPBT机制可以接受带有已撤销或过期证书的签名二进制文件，以完全绕过完整性检查，因此，允许攻击者使用已过期的证书对恶意二进制文件进行签名，并在设备启动时以内核权限运行任意代码。

作为对调查结果的回应，微软建议使用Windows Defender应用程序控制（WDAC）策略来严格限制允许哪些二进制文件在设备上运行。

最新披露的是2021年6月的一系列调查结果，其中涉及四个漏洞和8212个漏洞。统称为BIOS断开连接—；可以将其武器化，以便在BIOS更新期间在设备固件内远程执行，进一步突出了保护引导过程所涉及的复杂性和挑战。

研究人员说：“这一弱点可能通过多种载体（如物理访问、远程和供应链）和多种技术（如恶意引导加载程序、DMA等）被利用。”。“组织需要考虑这些向量，并采用分层的安全方法来确保应用所有可用的修复，并识别任何可能的对设备的妥协。”