Microsoft WPBT Zafiyeti, Windows Sistemlere Rootkit Yüklenmesine İzin Veriyor
Güvenlik araştırmacıları, Microsoft Windows Platform Binary Table (WPBT)’de 2012’den bu yana tüm Windows bilgisayarlarına rootkit yüklenmesine izin veren bir zafiyet buldular.
WPBT , Windows 8’den başlayarak bir PC üreticisinin bir programı PC’nin UEFI ürün bilgisine ekleyebilir. Bu, UEFI belleniminin “Windows Platform İkili Tablosu” (WPBT) bölümünde saklanır. Windows önyükleme yaptığında, bu program için UEFI ürün yazılımına bakar, ürün yazılımından işletim sistemi sürücüsüne kopyalar ve çalıştırır. Bununla birlikte, OEM üreticilerin Windows yükleme medyasıyla paketlenemeyen kritik yazılımları yüklemeye zorlamasını sağlamanın yanı sıra saldırganların kötü amaçlı araçları yüklemesine de izin verebilir.
Windows 8 veya sonraki sürümleri çalıştıran tüm bilgisayarları etkiliyor
Eclypsium araştırmacıları tarafından bulunan zafiyet, bu özelliğin Windows 8 ile ilk kez tanıtıldığı 2012’den beri Windows bilgisayarlarında mevcut durumda olduğunu belirttiler. Saldırganlar, ACPI tablolarının (WPBT dahil) bulunduğu yere veya kötü amaçlı bir önyükleyici kullanarak belleğe yazmaya izin veren çeşitli teknikler kullanabilir. Eclypsium araştırmacıları, “Eclypsium araştırma ekibi, Microsoft’un WPBT özelliği ile bir saldırganın bir cihaz başlatıldığında yerel ayrıcalıklarıyla kötü amaçlı kod çalıştırmasına izin verebilecek bir zafiyet tespit etti.” dedi. Konu ile ilgili bir video paylaşıldı.
Zafiyeti hafifletme yöntemleri
Eclypsium, Microsoft’u hata hakkında bilgilendirdikten sonra yazılım devinin Windows sistemlerinde hangi ikili dosyaların çalışabileceğini kontrol etmeye izin veren bir Windows Defender Uygulama Denetimi ilkesinin kullanılmasını önerdi. WDAC ilkeleri yalnızca Windows 10 1903 ve sonraki sürümlerin ve Windows 11’in veya Windows Server 2016 ve sonraki sürümlerin client sürümlerinde oluşturulabiliyor. Daha eski Windows sürümlerini çalıştıran sistemlerde Windows bilgisayarında hangi uygulamaların çalışmasına izin verildiğini denetlemek için AppLocker ilkelerini kullanılıyordu.
Eclypsium , çoğu Dell Windows aygıtına önceden yüklenmiş olarak gelen Dell SupportAssist’in BIOSConnect özelliğinde saldırganların hedeflenen bir aygıtın önyükleme sürecinin kontrolünü ele geçirmesine ve işletim sistemi düzeyinde güvenlik denetimlerini kırmasına olanak tanıyan başka bir saldırı vektörü buldu.
Araştırmacıların ortaya çıkardığı zafiyet “Güvenli Önyükleme ve Dell secure Boot and Dell Secured-core cihazlar da dahil olmak üzere 129 Dell tüketici ve iş dizüstü bilgisayarı, masaüstü ve tablet modelini etkiliyor” ve yaklaşık 30 milyon bireysel cihaz saldırılara maruz kalıdığı düşünülüyor.
Kaynak: bleepingcomputer.com