Phát hiện lỗ hổng trong Microsoft Windows cho phép cài rootkit

30/07/2014
79
711 bài viết
Phát hiện lỗ hổng trong Microsoft Windows cho phép cài rootkit
Các nhà nghiên cứu an ninh vừa tiết lộ một lỗ hổng chưa được vá trong thành phần Windows Platform Binary Table (WPBT). Lỗ hổng ảnh hưởng tất cả thiết bị chạy Windows từ phiên bản Windows 8, có thể bị lợi dụng để cài rootkit và ảnh hưởng đến tính toàn vẹn của thiết bị.
windows-rootkit.jpg

Các nhà nghiên cứu từ Eclypsium cho biết: “Lỗ hổng khiến mọi hệ thống Windows bị ảnh hưởng bởi cả những cuộc tấn công được tạo đơn giản với mục đích cài đặt các bảng nhị phân riêng cho kẻ tấn công. Những bảng này có thể bị khai thác bởi những kẻ tấn công có quyền truy cập vật lý hay từ xa hoặc thông qua chuỗi cung ứng nhà sản xuất. Quan trọng hơn, những sai sót ở cấp bo mạch chủ có thể vô hiệu hoá các tính năng như Secured-core từ việc sử dụng ACPI [Giao diện nguồn và Cấu hình nâng cao] và WPBT".

WPBT cho phép các nhà sản xuất PC trỏ thẳng đến các tệp thực thi di động đã được ký hoặc các trình điều khiển khác dành riêng cho nhà cung cấp. WPBT hiện diện như một phần trong hình ảnh ROM firmware UEFI và được tải vào bộ nhớ vật lý khi khởi tạo Windows hoặc trước khi thực thi mã hệ điều hành.

Mục tiêu chính của WPBT là cho phép các tính năng quan trọng như phần mềm chống trộm tồn tại ngay cả trong các trường hợp hệ điều hành đã được sửa đổi, định dạng hoặc cài đặt lại. Nhưng cũng chính vì WPBT có khả năng "bám dính thiết bị" như vậy, Microsoft đã phải đưa ra cảnh báo về những nguy cơ phát sinh từ việc lạm dụng WPBT, bao gồm cả khả năng triển khai rootkit trên các máy Windows.

Lỗ hổng bắt nguồn từ thực tế WPBT có thể chấp nhận tệp nhị phân đã ký với một chứng chỉ đã bị thu hồi hoặc hết hạn, dẫn đến bỏ qua hoàn toàn bước kiểm tra tính toàn vẹn. Do đó, lỗ hổng cho phép kẻ tấn công ký một tệp nhị phân độc hại với một chứng chỉ hết hạn và chạy mã tùy ý với đặc quyền nhân khi khởi động thiết bị.

Microsoft khuyến nghị sử dụng chính sách Windows Defender Application Control (WDAC) nhằm giới hạn tối đa những gì mã nhị phân có thể được phép chạy trên thiết bị.

Nguồn: The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
microsoft windows rootkit wpbt
Bên trên