Nuevo bug en Windows podría permitir instalar fácilmente un RootKit

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de seguridad han revelado una debilidad sin parchear en la Tabla Binaria de la Plataforma de Microsoft Windows (WPBT) que afecta a todos los dispositivos basados en Windows desde Windows 8 y que podría ser potencialmente explotada para instalar un rootkit y comprometer la integridad de los dispositivos.

"Estas fallas hacen que todos los sistemas Windows sean vulnerables a ataques fáciles de diseñar que instalan tablas fraudulentas específicas de proveedores", dijeron investigadores de Eclypsium en un informe publicado el lunes. "Estas tablas pueden ser explotadas por atacantes con acceso físico directo, con acceso remoto o mediante cadenas de suministro del fabricante. Más importante aún, estas fallas a nivel de placa base pueden obviar iniciativas como Secured-core debido al uso ubicuo de ACPI [Advanced Configuration and Power Interfaz] y WPBT".

WPBT, introducido con Windows 8 en 2012, es una función que permite que "el firmware de arranque proporcione a Windows un binario de plataforma que el sistema operativo puede ejecutar".

En otras palabras, permite a los fabricantes de PC apuntar a ejecutables portátiles firmados u otros controladores específicos del proveedor que vienen como parte de la imagen ROM del firmware UEFI de tal manera que se puede cargar en la memoria física durante la inicialización de Windows y antes de ejecutar cualquier código del sistema operativo.

El objetivo principal de WPBT es permitir que las características críticas, como el software antirrobo, persistan incluso en escenarios donde el sistema operativo ha sido modificado, formateado o reinstalado. Pero dada la capacidad de la funcionalidad para que dicho software "se adhiera al dispositivo indefinidamente", Microsoft advirtió sobre posibles riesgos de seguridad que podrían surgir del mal uso de WPBT, incluida la posibilidad de implementar rootkits en máquinas con Windows.



"Debido a que esta característica brinda la capacidad de ejecutar software del sistema de manera persistente en el contexto de Windows, es fundamental que las soluciones basadas en WPBT sean lo más seguras posible y no expongan a los usuarios de Windows a condiciones de explotación", señala el fabricante de Windows en su documentación. "En particular, las soluciones WPBT no deben incluir malware (es decir, software malicioso o software no deseado instalado sin el consentimiento adecuado del usuario)".

La vulnerabilidad descubierta por la empresa de seguridad del firmware empresarial se basa en el hecho de que el mecanismo WPBT puede aceptar un binario firmado con un certificado revocado o caducado para omitir por completo la verificación de integridad, lo que permite a un atacante firmar un binario malicioso con un certificado disponible pero caducado y ejecutar código arbitrario con privilegios de kernel cuando el dispositivo se inicia.

En respuesta a los hallazgos, Microsoft recomendó el uso de una política de Control de aplicaciones de Windows Defender (WDAC) para controlar estrictamente qué binarios pueden ejecutarse en los dispositivos.

La última divulgación sigue a un conjunto separado de hallazgos en junio de 2021, que involucró un conjunto de cuatro vulnerabilidades, llamadas colectivamente Desconexión de BIOS, que podrían usarse para obtener ejecución remota dentro del firmware de un dispositivo durante una actualización de BIOS, lo que resalta aún más la complejidad y desafíos involucrados en asegurar el proceso de arranque.

"Esta debilidad puede explotarse potencialmente a través de múltiples vectores (por ejemplo, acceso físico, remoto y cadena de suministro) y mediante múltiples técnicas (por ejemplo, cargador de arranque malicioso, DMA, etc.)", dijeron los investigadores. "Las organizaciones deberán considerar estos vectores y emplear un enfoque de seguridad en capas para garantizar que se apliquen todas las correcciones disponibles e identificar cualquier compromiso potencial para los dispositivos".

Fuente:
The Hacker News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta