Güvenlik araştırmacıları, 2012'den bu yana gönderilen tüm Windows bilgisayarlara rootkits yüklemek için kolay saldırılarda sömürülebilen Microsoft Windows Platform ikili tablosunda (WPBT) bir kusur bulmuşlardır.
Rootkits, kötü amaçlı araçlardır Tehdit aktörleri, algılama yaparak algılama yaparak algılama yapmayı öngörmekte ve algılama yapılırken tamamen uzatılmış sistemleri ele geçirmek için kullanılır.
WPBT, Microsoft'un Windows 8 ile başlayan Microsoft tarafından başlatılan sabit bir ürün yazılımı ACPI (Gelişmiş Yapılandırma ve Güç Arabirimi) tablosudur.
Bununla birlikte, OEM'lerin Windows yükleme ortamıyla birlikte paketlenemeyen kritik yazılımları kurmasını sağlamanın yanı sıra, bu mekanizma saldırganların, Microsoft'un kendi belgelerine uyduğundan, saldırganların kötü amaçlı araçları dağıtmasına izin verebilir.
"Bu özellik, sistem yazılımını Windows bağlamında ısrarla yürütme yeteneğini sağladığından, WPBT tabanlı çözümlerin mümkün olduğunca güvenli olduğu ve Windows kullanıcılarını sökmeyen koşullara maruz bırakmadığına dair kritik hale gelir" dedi.
"Özellikle, WPBT çözümleri kötü amaçlı yazılım içermemelidir (yani, yeterli kullanıcı rızası olmadan yüklü olan kötü amaçlı yazılım veya istenmeyen bir yazılım)."
ECLYPSIUM araştırmacıları tarafından bulunan zayıflık, Windows 8 ile ilk olarak tanıtıldığında, 2012'den bu yana Windows bilgisayarlarda bulunur.
Bu saldırılar, ACPI tablolarının (WPBT dahil) dahil olduğu belleğe yazmanın veya kötü amaçlı bir bootloader kullanılarak yazmanın yazılmasını sağlayan çeşitli teknikleri kullanabilir.
Bu, güvenli önyükleme veya DMA saldırılarından hassas çevre birimlerden veya bileşenlerden atlayan boothole güvenlik açığını kötüye kullanırlar.
"ECLYPSIUM ARAŞTIRMA ekibi, Microsoft'un WPBT kabiliyetinde bir saldırganın, bir cihaz çizmediğinde çekirdek ayrıcalıklarıyla kötü amaçlı bir kod çalıştırmasına izin verebilecek bir zayıflık tanımlamıştır" dedi.
"Bu zayıflık potansiyel olarak birden fazla vektör (örneğin, fiziksel erişim, uzaktan ve tedarik zinciri) ve çoklu tekniklerle (örneğin, kötü amaçlı bootloader, DMA, vb.)
Eclypsium, bu güvenlik kusurunun nasıl yararlanabileceğini gösteren aşağıdaki demo videosunu paylaştı.
Eclypsium'un Microsoft'un Microsoft'u bilgilendirdikten sonra, bir Windows Cihazında hangi ikili dosyaları kontrol edebileceğini kontrol eden bir Windows Defender Uygulama Kontrol Politikası kullanılarak önerilir.
"WDAC politikası, WPBT'de bulunan ikili dosyalar için de zorlanır ve Destek belgesindeki Microsoft Eyls" dedi.
WDAC politikaları yalnızca Windows 10 1903 ve sonraki ve Windows 11 veya Windows Server 2016 ve daha sonra istemci sürümlerinde oluşturulabilir.
Eski pencere sürümlerini yöneten sistemlerde, Applocker Politikalarını Windows istemcisinde hangi uygulamaların çalışmasına izin verildiğini kontrol etmek için kullanabilirsiniz.
Eclypsium araştırmacıları ekledi "Bu anakart seviye kusurları, ACPI ve WPBT'nin her yerde kullanılması nedeniyle güvenli-çekirdek gibi girişimleri engelleyebilir" dedi.
"Güvenlik uzmanları, Windows sistemlerinde kullanılan ürün yazılımını tanımlamalı, doğrulamalı ve güçlendirmeleri gerekir. Kuruluşların bu vektörleri göz önünde bulundurmaları ve mevcut tüm düzeltmelerin uygulandığından ve cihazlara herhangi bir potansiyel ödünçü tanımlamasını sağlamak için güvenliğe katmanlı bir yaklaşım istihdam etmek gerekir."
Eclypsium, tehdit aktörlerinin hedeflenen bir cihazın önyükleme işleminin kontrolünü almasını ve çoğu Dell Windows aygıtlarına önceden yüklenmiş olan bir yazılım olan Dell SupportAssist'in BiosConnect özelliğinde OS-LEVEL GÜVENLİĞİ KONTROLLERİNİN KOLTUK'UN GELİŞTİRİLMESİNİNİ YAPIYOR.
Araştırmacıların ortaya çıktıkça, "129 Dell Tüketici ve İşletme Dizüstü Bilgisayarları, Masaüstü ve Tabletler, Güvenli Boot ve Dell Sected-Core PC'lerle korunan cihazlar dahil," kabaca 30 milyon bireysel cihaza saldırılara maruz kalıyor.
PrinternMare yamasından sonra yönetici kredilerini soran yazıcıları nasıl düzeltilir
Yeni Windows Güvenlik Güncellemeleri Ağ Yazdırmayı Break
Eski Cryptopro CSP sürümleri tarafından engellenen Windows 10 yükseltmeleri
Yeni Windows PrintNightMare Sıfır Günleri Ücretsiz Resmi olmayan yama alın
Windows yöneticileri şimdi katmanlı grup politikası ile harici aygıtları engelleyebilir
Kaynak: Bleeping Computer