Los investigadores de seguridad identificaron una vulnerabilidad no corregida en la tabla binaria de la plataforma de Microsoft Windows (WPBT) que afecta a todos los dispositivos basados ​​en Windows 8 que podrían explotarse para instalar rootkits y comprometer la integridad del dispositivo.

«Estas vulnerabilidades hacen que todos los Windows sean vulnerables a los ataques creados fácilmente que instalan hojas de cálculo fraudulentas específicas del proveedor», dijeron los investigadores de Eclypsium en un informe publicado el lunes. «Estas tablas pueden ser explotadas por atacantes con acceso físico directo, acceso remoto o cadenas de suministro de proveedores. Más importante aún, estos errores a nivel de placa base pueden evitar iniciativas como Secured-core debido al uso omnipresente de ACPI». [Advanced Configuration and Power Interface] y WPBT».

WPBT, introducido con Windows 8 en 2012, es una función que permite «arrancar el firmware para proporcionar una plataforma binaria de Windows que el sistema operativo pueda ejecutar».

En otras palabras, permite a los fabricantes de PC hacer referencia a ejecutables portátiles firmados u otros controladores específicos del proveedor que forman parte de la imagen ROM del firmware UEFI, de tal manera que se pueden cargar en la memoria física durante la inicialización de Windows y antes de cualquier código del sistema operativo. se ejecuta. .

El objetivo principal de WPBT es permitir que las características críticas, como el software antirrobo, persistan en escenarios en los que el sistema operativo se modificó, formateó o reinstaló. Pero con la capacidad de mantener dicho software «en el dispositivo de forma indefinida», Microsoft advirtió sobre los posibles riesgos de seguridad que podrían resultar de las vulnerabilidades de WPBT, incluida la capacidad de implementar rootkits en las computadoras con Windows.

«Debido a que esta función brinda la capacidad de ejecutar el software del sistema continuamente en el contexto de Windows, es importante que las soluciones basadas en WPBT sean lo más seguras posible y no expongan a los usuarios de Windows a condiciones explotables», señala la documentación del fabricante de Windows. «En particular, la solución WPBT no debe contener malware (es decir, software malicioso o software no deseado instalado sin el consentimiento apropiado del usuario)».

La vulnerabilidad identificada por la empresa de seguridad de firmware empresarial se basa en el hecho de que el mecanismo WPBT puede aceptar un archivo binario firmado con un certificado revocado o caducado para omitir por completo la verificación de integridad, lo que permite que un atacante firme un archivo binario malicioso con un certificado caducado. la validez del certificado y ejecutar cualquier código del kernel al iniciar el dispositivo.

En respuesta a estos hallazgos, Microsoft recomendó que use la política de control de aplicaciones de Windows Defender (WDAC) para limitar estrictamente qué archivos binarios se pueden ejecutar en los dispositivos.

La última versión sigue a un conjunto separado de hallazgos de junio de 2021, que involucró una combinación de cuatro vulnerabilidades, denominadas colectivamente BIOS Disconnect, que podrían usarse para obtener un arranque remoto en el firmware del dispositivo durante una actualización del BIOS, destacando aún más la complejidad y los desafíos de seguridad de el proceso de arranque.

«Esta vulnerabilidad podría explotarse potencialmente a través de múltiples vectores (por ejemplo, acceso físico, remoto y cadena de suministro) y diferentes técnicas (por ejemplo, cargador de arranque malicioso, DMA, etc.)», dijeron los investigadores. «Las organizaciones deberán considerar estos vectores y aplicar un enfoque de seguridad en capas para garantizar que se apliquen todas las soluciones disponibles y que se identifiquen todas las amenazas potenciales a los equipos».