专精于固件安全性的安全企业Eclypsium日前披露,微软在Windows中内置的Windows Platform Binary Table(WPBT)含有一个重大漏洞,将允许黑客植入Rootkit,而且波及自2012年以来的所有Windows设备。
Eclypsium解释,计算机上的固件、操作系统与硬件组件之间,有一个名为ACPI的硬件抽象层,它的全名为“先进配置与电源接口”(Advanced Configuration and Power Interface),目的是要让操作系统能够配置与管理硬件组件的电力,而不依赖BIOS/UEFI固件,而WPBT则是微软所创建,让Windows得以控制ACPI的一种ACPI Windows Platform Binary Table(WPBT)。
根据微软的叙述,WPBT为一固定的ACPI表格,是由启动固件组件所发布,它指向一个实体的内存位置,该位置含有一个可执行的二进制文件。该功能是为了让OEM企业得以在不变更Windows镜像文件的情况下,于系统上添增重要文件、驱动程序或可执行文件。
为了防范WPBT遭到不明的篡改,WPBT要求任何二进制文件都需含有适当的签章,然而Eclypsium却发现,WPBT也接受过期或者是已被撤销的凭证。
因此,研究人员利用一个恶意的驱动程序,创建一个新的WPBT表格,或者是修改既有的WPBT表格,并指定Windows执行,有鉴于WPBT是在启动时间便发布,代表黑客可以在启动时植入任何恶意程序而不被杀毒软件发现,形成Rootkit。Eclypsium表示,相关攻击就算是在BitLocker加密磁盘的状态下都能运行。
该漏洞适用于直接内存访问(DMA)攻击、远程攻击,与供应链攻击,而且从微软自2012年10月发布Windows 8以来便存在迄今。