ГлавнаябезопасностьВ Microsoft WPBT обнаружен дефект: какие устройства затронуты?

В Microsoft WPBT обнаружен дефект: какие устройства затронуты?

Исследователи безопасности обнаружили недостаток в двоичной таблице платформы Microsoft Windows Platform (WPBT), который можно использовать в простых атаках для установки руткитов на все компьютеры с Windows, выпущенные с 2012 года.

WPBT Microsoft

См. Также: Как скачать и использовать Microsoft Word бесплатно

Руткиты - это вредоносные инструменты, созданные хакерами, чтобы избежать обнаружения. Инструменты глубоко погружены в операционную систему и используются для полного восстановления скомпрометированных систем, хотя их нелегко обнаружить.

WPBT - это плата микропрограммного обеспечения ACPI (Advanced Configuration and Power Interface), представленная Microsoft начиная с Windows 8, чтобы позволить поставщикам запускать программы при каждом запуске устройства.

Однако, помимо того, что производители оборудования могут принудительно установить критически важное программное обеспечение, которое не может быть объединено с инструментами установки Windows, этот механизм может позволить злоумышленникам разрабатывать вредоносные инструменты, как предупреждает Microsoft в своем отчете.

См. Также: Автообнаружение Microsoft Exchange: ошибки утечки учетных данных Windows

Затрагивает все компьютеры под управлением Windows 8 или новее.

Слабость, обнаруженная исследователями Eclypsium, заключается в компьютерах с Windows, выпущенных с 2012 года, когда эта функция была впервые представлена ​​в Windows 8.

Эти атаки могут использовать различные методы, которые позволяют вам записывать в память, где расположены платы ACPI (включая WPBT), или использовать вредоносный загрузчик.

Это можно сделать, используя уязвимость BootHole, которая обходит безопасную загрузку, или с помощью DMA-атак с уязвимых периферийных устройств или компонентов.

Eclypsium поделился следующим демонстрационным видео, показывающим, как можно использовать эту уязвимость безопасности.

См. Также: Microsoft: немедленно удалите пароли в Windows 10

Меры по смягчению последствий включают использование политик WDAC.

После того, как Eclypsium уведомил Microsoft об ошибке, софтверный гигант рекомендовал использовать политику управления приложениями Защитника Windows, которая позволяет ему контролировать двоичные файлы, которые можно запускать на устройстве Windows.

«Политика WDAC также применяется к двоичным файлам, включенным в WPBT, и должна решить эту проблему», - говорится в документе поддержки Microsoft.

Политики WDAC могут быть созданы только в клиентских версиях Windows 10 1903 и новее, а также Windows 11 или Windows Server 2016 и новее.

В системах под управлением более старых версий Windows вы можете использовать политики AppLocker чтобы проверить, какие приложения разрешено запускать на клиенте Windows.

Источник информации: bleepingcomputer.com

Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ