Microsoft WPBT-Fehler ermöglicht Hackern die Installation von Rootkits auf Windows-Geräten
Sicherheitsexperten haben eine Sicherheitslücke in der WPBT (Microsoft Windows Platform Binary Table) gefunden, die in einfachen Angriffen genutzt werden kann, um Rootkits auf allen Windows-Computern zu installieren, die seit 2012 ausgeliefert wurden.
Rootkits sind bösartige Tools, die Angreifer erstellen, um der Entdeckung zu entgehen, indem sie sich tief in das Betriebssystem einnisten und dazu verwendet werden, kompromittierte Systeme vollständig zu übernehmen.
WPBT ist eine ACPI-Tabelle (Advanced Configuration and Power Interface) mit fester Firmware, die von Microsoft ab Windows 8 eingeführt wurde, um Anbietern die Ausführung von Programmen bei jedem Start eines Geräts zu ermöglichen.
Dieser Mechanismus ermöglicht es OEMs jedoch nicht nur, die Installation kritischer Software zu erzwingen, die nicht mit Windows-Installationsmedien gebündelt werden kann, sondern auch Angreifern, bösartige Tools zu installieren, wie Microsoft in seiner eigenen Dokumentation warnt.
Da diese Funktion die Möglichkeit bietet, Systemsoftware dauerhaft im Kontext von Windows auszuführen, ist es von entscheidender Bedeutung, dass WPBT-basierte Lösungen so sicher wie möglich sind und Windows-Benutzer nicht ausnutzbaren Bedingungen aussetzen.
Insbesondere dürfen WPBT-Lösungen keine Malware enthalten (d. h. bösartige Software oder unerwünschte Software, die ohne ausreichende Zustimmung des Benutzers installiert wird).
Betroffen sind alle Computer mit Windows 8 oder höher
Die von den Eclypsium-Forschern gefundene Sicherheitslücke ist auf Windows-Computern seit 2012 vorhanden, als die Funktion erstmals mit Windows 8 eingeführt wurde.
Diese Angriffe können verschiedene Techniken nutzen, die es ermöglichen, in den Speicher zu schreiben, in dem sich ACPI-Tabellen (einschließlich WPBT) befinden, oder indem ein bösartiger Bootloader verwendet wird.
Dies kann durch Ausnutzung der Sicherheitslücke BootHole geschehen, mit der Secure Boot umgangen wird, oder durch DMA-Angriffe von anfälligen Peripheriegeräten oder Komponenten.
Das Eclypsium-Forschungsteam hat eine Schwachstelle in Microsofts WPBT-Fähigkeit identifiziert, die es einem Angreifer ermöglichen kann, beim Hochfahren eines Geräts bösartigen Code mit Kernel-Rechten auszuführen.
Diese Schwachstelle kann potenziell über mehrere Vektoren (z. B. physischer Zugriff, Fernzugriff und Lieferkette) und durch mehrere Techniken (z. B. bösartiger Bootloader, DMA usw.) ausgenutzt werden.
Abhilfemaßnahmen umfassen die Verwendung von WDAC-Richtlinien
Als Eclypsium Microsoft über den Fehler informierte, empfahl Microsoft die Verwendung einer Windows Defender Application Control-Richtlinie, mit der sich kontrollieren lässt, welche Binärdateien auf einem Windows-Gerät ausgeführt werden können.
"Die WDAC-Richtlinie wird auch für die in der WPBT enthaltenen Binärdateien durchgesetzt und sollte dieses Problem entschärfen", so Microsoft in dem Support-Dokument.
WDAC-Richtlinien können nur auf Client-Editionen von Windows 10 1903 und höher und Windows 11 oder auf Windows Server 2016 und höher erstellt werden.
Auf Systemen mit älteren Windows-Versionen können Sie AppLocker-Richtlinien verwenden, um zu steuern, welche Apps auf einem Windows-Client ausgeführt werden dürfen.
Diese Sicherheitslücken auf Motherboard-Ebene können aufgrund der allgegenwärtigen Verwendung von ACPI und WPBT Initiativen wie Secured-core aushebeln.
Eclypsium fand einen weiteren Angriffsvektor, der es Angreifern ermöglicht, die Kontrolle über den Boot-Prozess eines Zielgeräts zu übernehmen und die Sicherheitskontrollen auf Betriebssystemebene in der BIOSConnect-Funktion von Dell SupportAssist zu umgehen, einer Software, die auf den meisten Windows-Geräten von Dell vorinstalliert ist.
Wie die Forscher herausfanden, betrifft das Problem "129 Dell-Modelle von Laptops, Desktops und Tablets für Privat- und Geschäftskunden, einschließlich Geräten, die durch Secure Boot und Dell Secured-Core-PCs geschützt sind", wodurch etwa 30 Millionen einzelne Geräte für Angriffe anfällig sind.