Reklam
MicrosoftSecurity

Microsoft WPBT kusuru, bilgisayar korsanlarının Windows cihazlarına rootkit yüklemesine izin veriyor

Microsoft WPBT kusuru, bilgisayar korsanlarının Windows cihazlarına rootkit yüklemesine izin veriyor

Güvenlik araştırmacıları, Microsoft Windows Platform İkili Tablosunda (WPBT) 2012’den bu yana gönderilen tüm Windows bilgisayarlarına rootkit yüklemek için kolay saldırılarda kullanılabilecek bir kusur buldular.

Rootkit’ler tehdit aktörlerinin işletim sisteminin derinliklerine gömerek tespitten kaçınmak için oluşturdukları ve tespit edilmekten kaçınırken güvenliği ihlal edilmiş sistemleri tamamen devralmak için kullanılan kötü niyetli araçlardır.

WPBT sabit bir bellenimdir ACPI (Gelişmiş Yapılandırma ve Güç Arayüzü) tablosu, Microsoft tarafından Windows 8’den başlayarak, satıcıların bir aygıt her önyüklendiğinde programları yürütmesine olanak tanır.

Bununla birlikte, OEM’lerin Windows yükleme medyasıyla paketlenemeyen kritik yazılımları yüklemeye zorlamasını sağlamanın yanı sıra, bu mekanizma, Microsoft’un kendi belgelerinde uyardığı gibi, saldırganların kötü amaçlı araçlar dağıtmasına da izin verebilir.

Microsoft, “Bu özellik, sistem yazılımını Windows bağlamında kalıcı olarak yürütme yeteneği sağladığından, WPBT tabanlı çözümlerin olabildiğince güvenli olması ve Windows kullanıcılarını kötüye kullanılabilir koşullara maruz bırakmaması kritik hale geliyor” diye açıklıyor.

“Özellikle, WPBT çözümleri kötü amaçlı yazılım (yani, yeterli kullanıcı izni olmadan yüklenen kötü amaçlı yazılımlar veya istenmeyen yazılımlar) içermemelidir.”

Windows 8 veya sonraki sürümleri çalıştıran tüm bilgisayarları etkiler

Eclypsium araştırmacıları tarafından bulunan zayıflık, özelliğin Windows 8 ile ilk kez tanıtıldığı 2012’den beri Windows bilgisayarlarında mevcuttur.

Bu saldırılar, ACPI tablolarının (WPBT dahil) bulunduğu yere veya kötü amaçlı bir önyükleyici kullanarak belleğe yazmaya izin veren çeşitli teknikler kullanabilir.

Bu kötüye kullanarak olabilir Bagaj Deliği Güvenli Önyüklemeyi atlayan veya aracılığıyla DMA saldırıları savunmasız çevre birimlerinden veya bileşenlerden

Eclypsium araştırmacıları, “Eclypsium araştırma ekibi, Microsoft’un WPBT yeteneğinde, bir saldırganın bir cihaz başlatıldığında çekirdek ayrıcalıklarıyla kötü amaçlı kod çalıştırmasına izin verebilecek bir zayıflık tespit etti.” Dedi.

“Bu zayıflık, potansiyel olarak birden çok vektör (örneğin fiziksel erişim, uzak ve tedarik zinciri) ve birden çok teknik (örneğin kötü niyetli önyükleyici, DMA, vb.) aracılığıyla kullanılabilir.”

Eclypsium, bu güvenlik açığından nasıl yararlanılabileceğini gösteren aşağıdaki demo videosunu paylaştı.

Azaltma önlemleri, WDAC politikalarının kullanılmasını içerir

Eclypsium, Microsoft’u hata hakkında bilgilendirdikten sonra, yazılım devi bir Windows Defender Uygulama Denetimi ilkesi bu, bir Windows cihazında hangi ikili dosyaların çalışabileceğini kontrol etmeye izin verir.

Microsoft, destek belgesinde “WDAC ilkesi, WPBT’ye dahil edilen ikili dosyalar için de uygulanır ve bu sorunu hafifletmelidir” diyor.

WDAC ilkeleri yalnızca Windows 10 1903 ve sonraki sürümlerin ve Windows 11’in veya Windows Server 2016 ve sonraki sürümlerin istemci sürümlerinde oluşturulabilir.

Daha eski Windows sürümlerini çalıştıran sistemlerde, bir Windows istemcisinde hangi uygulamaların çalışmasına izin verildiğini denetlemek için AppLocker ilkelerini kullanabilirsiniz.

Eclypsium araştırmacıları, “Bu anakart düzeyindeki kusurlar, ACPI ve WPBT’nin her yerde kullanımı nedeniyle Güvenli çekirdek gibi girişimleri önleyebilir.”

“Güvenlik uzmanlarının Windows sistemlerinde kullanılan donanım yazılımını tanımlaması, doğrulaması ve güçlendirmesi gerekiyor. Kuruluşların bu vektörleri göz önünde bulundurması ve mevcut tüm düzeltmelerin uygulandığından emin olmak ve cihazlarda olası herhangi bir tehlikeyi belirlemek için güvenlik için katmanlı bir yaklaşım kullanması gerekecek.”

Eclypsium, tehdit aktörlerinin hedeflenen bir cihazın önyükleme sürecinin kontrolünü ele geçirmesine ve işletim sistemi düzeyinde güvenlik kontrollerini kırmasına izin veren başka bir saldırı vektörü buldu. Dell SupportAssist’in BIOSConnect özelliğinde, çoğu Dell Windows cihazına önceden yüklenmiş olarak gelen bir yazılım.

Araştırmacıların ortaya çıkardığı gibi, sorun “Güvenli Önyükleme ve Dell Güvenli çekirdekli PC’ler tarafından korunan cihazlar da dahil olmak üzere 129 Dell tüketici ve iş dizüstü bilgisayarı, masaüstü ve tablet modelini etkiliyor” ve yaklaşık 30 milyon bireysel cihaz saldırılara maruz kalıyor.


Source link

Başa dön tuşu

Reklam Engelleyici Algılandı

Lütfen reklam engelleyiciyi devre dışı bırakarak bizi desteklemeyi düşünün