Lỗ hổng mới trên Microsoft Windows cho phép Hacker dễ dàng tự cài Rootkit

www.tuoitre.vn -   23/09/2021 08:00:00 208

Các nhà nghiên cứu bảo mật đã tiết lộ lỗ hổng bảo mật mới chưa được khắc phục trên Microsoft Windows Platform Binary Table (WPBT) ảnh hưởng đến tất cả các thiết bị chạy Windows kể từ Windows 8 có khả năng bị lợi dụng để cài đặt bộ rootkit và ảnh hưởng đến tính toàn vẹn của thiết bị.

Lỗ hổng mới trên Microsoft Windows cho phép Hacker dễ dàng tự cài Rootkit

Các nhà nghiên cứu từ Eclypsium cho biết trong một báo cáo được công bố hôm thứ Hai: “Những lỗ hổng này khiến mọi hệ thống Windows dễ bị tấn công được tạo ra nhằm cài đặt các bảng dành riêng cho nhà cung cấp gian lận”. "Những bảng này có thể bị khai thác bởi những kẻ tấn công với quyền truy cập vật lý trực tiếp, với quyền truy cập từ xa hoặc thông qua chuỗi cung ứng của nhà sản xuất. Quan trọng hơn, những sai sót cấp bo mạch chủ này có thể xóa sổ các sáng kiến như Secured-core vì việc sử dụng ACPI [Cấu hình nâng cao và sức mạnh Giao diện] và WPBT. "

WPBT, được giới thiệu cùng với Windows 8 vào năm 2012, là một tính năng cho phép "phần mềm khởi động để cung cấp cho Windows bản nhị phân nền tảng mà hệ điều hành có thể thực thi."

Nói cách khác, nó cho phép các nhà sản xuất PC trỏ đến các tệp thực thi di động đã ký hoặc các trình điều khiển khác dành riêng cho nhà cung cấp đi kèm như một phần của hình ảnh ROM phần sụn UEFI theo cách có thể được tải vào bộ nhớ vật lý trong quá trình khởi tạo Windows và trước khi thực thi bất kỳ mã hệ điều hành.

Mục tiêu chính của WPBT là cho phép các tính năng quan trọng như phần mềm chống trộm vẫn tồn tại ngay cả trong các trường hợp hệ điều hành đã được sửa đổi, định dạng hoặc cài đặt lại. Nhưng với khả năng của chức năng là phần mềm như vậy "dính vào thiết bị vô thời hạn", Microsoft đã cảnh báo về những rủi ro bảo mật tiềm ẩn có thể phát sinh từ việc lạm dụng WPBT, bao gồm cả khả năng triển khai rootkit trên các máy Windows.

"Bởi vì tính năng này cung cấp khả năng thực thi liên tục phần mềm hệ thống trong bối cảnh của Windows, điều quan trọng là các giải pháp dựa trên WPBT phải an toàn nhất có thể và không để người dùng Windows gặp phải các điều kiện có thể khai thác", nhà sản xuất Windows lưu ý trong tài liệu của mình. "Đặc biệt, các giải pháp WPBT không được bao gồm phần mềm độc hại (tức là phần mềm độc hại hoặc phần mềm không mong muốn được cài đặt mà không có sự đồng ý đầy đủ của người dùng)."

Lỗ hổng được phát hiện bởi công ty bảo mật phần sụn doanh nghiệp bắt nguồn từ thực tế là cơ chế WPBT có thể chấp nhận tệp nhị phân đã ký với một chứng chỉ đã bị thu hồi hoặc hết hạn để hoàn toàn bỏ qua kiểm tra tính toàn vẹn, do đó cho phép kẻ tấn công ký một tệp nhị phân độc hại với một chứng chỉ hết hạn và chạy mã tùy ý với đặc quyền hạt nhân khi thiết bị khởi động.

Để đáp lại những phát hiện này, Microsoft đã khuyến nghị sử dụng chính sách Kiểm soát ứng dụng của Bộ bảo vệ Windows (WDAC) để hạn chế chặt chẽ những gì mã nhị phân có thể được phép chạy trên thiết bị.

Tiết lộ mới nhất theo sau một loạt các phát hiện riêng biệt vào tháng 6 năm 2021, liên quan đến một loạt bốn lỗ hổng - được gọi chung là BIOS Disconnect - có thể được vũ khí hóa để thực thi từ xa trong phần sụn của thiết bị trong quá trình cập nhật BIOS, làm nổi bật thêm sự phức tạp và những thách thức liên quan đến việc đảm bảo quá trình khởi động.

"Điểm yếu này có thể bị khai thác thông qua nhiều vectơ (ví dụ: truy cập vật lý, từ xa và chuỗi cung ứng) và bằng nhiều kỹ thuật (ví dụ: bộ nạp khởi động độc hại, DMA, v.v.)", các nhà nghiên cứu cho biết. "Các tổ chức sẽ cần phải xem xét các vectơ này và sử dụng cách tiếp cận theo lớp đối với bảo mật để đảm bảo rằng tất cả các bản sửa lỗi có sẵn đều được áp dụng và xác định bất kỳ thỏa hiệp tiềm ẩn nào đối với thiết bị."

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Cập nhật ngay máy tính Windows ngay lập ...

15/10/2021 08:00:00 15
Microsoft đã tung ra các bản vá bảo mật cho tổng cộng 71 lỗ hổng trong Microsoft Windows và các phần...

Kaspersky trao đổi về sự chuyển dịch của...

14/10/2021 08:00:00 106
Sự kiện Cybersecurity Weekend lần thứ 7 do Kaspersky tổ chức tập trung thảo luận chi tiết về thái độ...

Apple khẩn cấp phát hành bản vá lỗi cho ...

12/10/2021 08:00:00 79
Hôm thứ Hai, Apple đã phát hành một bản cập nhật bảo mật cho iOS và iPad để giải quyết một lỗ hổng n...

3 chiêu trò lừa đảo tinh vi trên mạng xã...

11/10/2021 08:00:00 72
Ngày nay, những kẻ lừa đảo ngày càng phát triển một cách tinh vi. Dưới đây là một số chiến thuật mới...

Apple yêu cầu tất cả các ứng dụng cho ph...

08/10/2021 08:00:00 98
Apple cho biết, tất cả các ứng dụng iOS, iPadOS và macOS của bên thứ ba cho phép người dùng tạo tài ...

150 triệu người dùng của Google đã được ...

06/10/2021 02:00:00 163
Google đã công bố kế hoạch tự động đăng ký khoảng 150 triệu người dùng vào chương trình xác thực hai...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ