专精于固件安全性的安全企业eclypsium日前披露,微软在windows中内置的windows platform binary table(wpbt)含有一个重大漏洞,将允许黑客植入rootkit,而且波及自2012年以来的所有windows设备。
eclypsium解释,计算机上的固件、操作系统与硬件组件之间,有一个名为acpi的硬件抽象层,它的全名为“先进配置与电源接口”(advanced configuration and power interface),目的是要让操作系统能够配置与管理硬件组件的电力,而不依赖bios/uefi固件,而wpbt则是微软所创建,让windows得以控制acpi的一种acpi windows platform binary table(wpbt)。
根据微软的叙述,wpbt为一固定的acpi表格,是由启动固件组件所发布,它指向一个实体的内存位置,该位置含有一个可执行的二进制文件。该功能是为了让oem企业得以在不变更windows镜像文件的情况下,于系统上添增重要文件、驱动程序或可执行文件。
为了防范wpbt遭到不明的篡改,wpbt要求任何二进制文件都需含有适当的签章,然而eclypsium却发现,wpbt也接受过期或者是已被撤销的凭证。
因此,研究人员利用一个恶意的驱动程序,创建一个新的wpbt表格,或者是修改既有的wpbt表格,并指定windows执行,有鉴于wpbt是在启动时间便发布,代表黑客可以在启动时植入任何恶意程序而不被杀毒软件发现,形成rootkit。eclypsium表示,相关攻击就算是在bitlocker加密磁盘的状态下都能运行。
该漏洞适用于直接内存访问(dma)攻击、远程攻击,与供应链攻击,而且从微软自2012年10月发布windows 8以来便存在迄今。