APP下载

Eclypsium发现微软的WPBT含有漏洞,允许骇客植入Rootkit

消息来源:baojiabao.com 作者: 发布时间:2024-11-28

报价宝综合消息Eclypsium发现微软的WPBT含有漏洞,允许骇客植入Rootkit

专精于固件安全性的资安业者Eclypsium日前揭露,微软在Windows中内建的Windows Platform Binary Table(WPBT)含有一个重大漏洞,将允许骇客植入Rootkit,而且波及自2012年以来的所有Windows装置。

Eclypsium解释,电脑上的固件、操作系统与硬件元件之间,有一个名为ACPI的硬件抽象层,它的全名为“先进配置与电源界面”(Advanced Configuration and Power Interface),目的是要让操作系统能够配置与管理硬件元件的电力,而不仰赖BIOS/UEFI固件,而WPBT则是微软所建立,让Windows得以控制ACPI的一种ACPI Windows Platform Binary Table(WPBT)。

根据微软的叙述,WPBT为一固定的ACPI表格,是由启动固件元件所发布,它指向一个实体的内存位置,该位置含有一个可执行的二进制档案。此一功能是为了让OEM业者得以在不变更Windows映像档的情况下,于系统上添增重要档案、驱动程式或可执行档。

为了防范WPBT遭到不明的窜改,WPBT要求任何二进制档案都需含有适当的签章,然而Eclypsium却发现,WPBT也接受过期或者是已被撤销的凭证。

因此,研究人员利用一个恶意的驱动程式,建立一个新的WPBT表格,或者是修改既有的WPBT表格,并指定Windows执行,有鉴于WPBT是在启动时间便发布,代表骇客可以在启动时植入任何恶意程式而不被防毒软件察觉,形成Rootkit。Eclypsium表示,相关攻击就算是在BitLocker加密磁盘的状态下都能运作。

此一漏洞适用于直接内存存取(DMA)攻击、远端攻击,与供应链攻击,而且从微软自2012年10月发表Windows 8以来便存在迄今。

2021-09-28 10:52:00

相关文章