專精於韌體安全性的資安業者Eclypsium日前揭露,微軟在Windows中內建的Windows Platform Binary Table(WPBT)含有一個重大漏洞,將允許駭客植入Rootkit,而且波及自2012年以來的所有Windows裝置。

Eclypsium解釋,電腦上的韌體、作業系統與硬體元件之間,有一個名為ACPI的硬體抽象層,它的全名為「先進配置與電源介面」(Advanced Configuration and Power Interface),目的是要讓作業系統能夠配置與管理硬體元件的電力,而不仰賴BIOS/UEFI韌體,而WPBT則是微軟所建立,讓Windows得以控制ACPI的一種ACPI Windows Platform Binary Table(WPBT)。

根據微軟的敘述,WPBT為一固定的ACPI表格,是由啟動韌體元件所發布,它指向一個實體的記憶體位置,該位置含有一個可執行的二進位檔案。此一功能是為了讓OEM業者得以在不變更Windows映像檔的情況下,於系統上添增重要檔案、驅動程式或可執行檔。

為了防範WPBT遭到不明的竄改,WPBT要求任何二進位檔案都需含有適當的簽章,然而Eclypsium卻發現,WPBT也接受過期或者是已被撤銷的憑證。

因此,研究人員利用一個惡意的驅動程式,建立一個新的WPBT表格,或者是修改既有的WPBT表格,並指定Windows執行,有鑑於WPBT是在啟動時間便發布,代表駭客可以在啟動時植入任何惡意程式而不被防毒軟體察覺,形成Rootkit。Eclypsium表示,相關攻擊就算是在BitLocker加密磁碟的狀態下都能運作。

此一漏洞適用於直接記憶體存取(DMA)攻擊、遠端攻擊,與供應鏈攻擊,而且從微軟自2012年10月發表Windows 8以來便存在迄今。

熱門新聞

Advertisement