Eclypsium发现微软的WPBT含有漏洞，允许骇客植入Rootkit

专精于固件安全性的资安业者Eclypsium日前揭露，微软在Windows中内建的Windows Platform Binary Table（WPBT）含有一个重大漏洞，将允许骇客植入Rootkit，而且波及自2012年以来的所有Windows装置。

Eclypsium解释，电脑上的固件、操作系统与硬件元件之间，有一个名为ACPI的硬件抽象层，它的全名为“先进配置与电源界面”（Advanced Configuration and Power Interface），目的是要让操作系统能够配置与管理硬件元件的电力，而不仰赖BIOS/UEFI固件，而WPBT则是微软所建立，让Windows得以控制ACPI的一种ACPI Windows Platform Binary Table（WPBT）。

根据微软的叙述，WPBT为一固定的ACPI表格，是由启动固件元件所发布，它指向一个实体的内存位置，该位置含有一个可执行的二进制档案。此一功能是为了让OEM业者得以在不变更Windows映像档的情况下，于系统上添增重要档案、驱动程式或可执行档。

为了防范WPBT遭到不明的窜改，WPBT要求任何二进制档案都需含有适当的签章，然而Eclypsium却发现，WPBT也接受过期或者是已被撤销的凭证。

因此，研究人员利用一个恶意的驱动程式，建立一个新的WPBT表格，或者是修改既有的WPBT表格，并指定Windows执行，有鉴于WPBT是在启动时间便发布，代表骇客可以在启动时植入任何恶意程式而不被防毒软件察觉，形成Rootkit。Eclypsium表示，相关攻击就算是在BitLocker加密磁盘的状态下都能运作。

此一漏洞适用于直接内存存取（DMA）攻击、远端攻击，与供应链攻击，而且从微软自2012年10月发表Windows 8以来便存在迄今。