Bug in Windows permette l’installazione di un RootKit

Pubblicato da frtg il

E’ stata identificata una vulnerabilità dei sistemi Microsoft Windows relativa alla tabella binaria WPBT (Windows Platform Binary Table) che interessa tutti i dispositivi basati sul sistema operativo Microsoft a partire da Windows 8 e che potrebbe essere potenzialmente sfruttato per installare Rootkit e compromettere l’integrità dei dispositivi.

Come riportato in dettaglio, queste tabelle possono essere sfruttate da un attaccante con accesso fisico al sistema, con accesso remoto o tramite attacchi supply chain. Dato allarmante è dato dal fatto che queste vulnerabilità hardware, in particolare della scheda madre, consentirebbero a malintenzionati di bypassare le funzionalità di sicurezza del sistema operativo quali Secured-core.

WPBT consente la persistenza di funzionalità critiche come il software antifurto anche in scenari in cui il sistema operativo è stato modificato, formattato o reinstallato. Ma data la capacità della funzionalità di avere tale software “attaccato al dispositivo indefinitamente”, Microsoft ha avvertito di potenziali rischi per la sicurezza che potrebbero derivare da un uso improprio di WPBT, inclusa la possibilità di distribuire rootkit su macchine Windows. La vulnerabilità è dovuta al fatto che WPBT può accettare un binario firmato con un certificato revocato o scaduto aggirando completamente il controllo di integrità, consentendo così a un utente malintenzionato di firmare un binario dannoso con un certificato disponibile scaduto ed eseguire codice arbitrario con privilegi kernel all’avvio del dispositivo.

Microsoft ha consigliato di utilizzare una feature di Windows Defender Application Control (WDAC) per limitare rigorosamente i file binari che possono essere eseguiti sui dispositivi.

Categorie: Minacce