Lỗ hổng mới trên Microsoft Windows cho phép Hacker dễ dàng tự cài Rootkit

www.tuoitre.vn -   23/09/2021 08:00:00 1073

Các nhà nghiên cứu bảo mật đã tiết lộ lỗ hổng bảo mật mới chưa được khắc phục trên Microsoft Windows Platform Binary Table (WPBT) ảnh hưởng đến tất cả các thiết bị chạy Windows kể từ Windows 8 có khả năng bị lợi dụng để cài đặt bộ rootkit và ảnh hưởng đến tính toàn vẹn của thiết bị.

Lỗ hổng mới trên Microsoft Windows cho phép Hacker dễ dàng tự cài Rootkit

Các nhà nghiên cứu từ Eclypsium cho biết trong một báo cáo được công bố hôm thứ Hai: “Những lỗ hổng này khiến mọi hệ thống Windows dễ bị tấn công được tạo ra nhằm cài đặt các bảng dành riêng cho nhà cung cấp gian lận”. "Những bảng này có thể bị khai thác bởi những kẻ tấn công với quyền truy cập vật lý trực tiếp, với quyền truy cập từ xa hoặc thông qua chuỗi cung ứng của nhà sản xuất. Quan trọng hơn, những sai sót cấp bo mạch chủ này có thể xóa sổ các sáng kiến như Secured-core vì việc sử dụng ACPI [Cấu hình nâng cao và sức mạnh Giao diện] và WPBT. "

WPBT, được giới thiệu cùng với Windows 8 vào năm 2012, là một tính năng cho phép "phần mềm khởi động để cung cấp cho Windows bản nhị phân nền tảng mà hệ điều hành có thể thực thi."

Nói cách khác, nó cho phép các nhà sản xuất PC trỏ đến các tệp thực thi di động đã ký hoặc các trình điều khiển khác dành riêng cho nhà cung cấp đi kèm như một phần của hình ảnh ROM phần sụn UEFI theo cách có thể được tải vào bộ nhớ vật lý trong quá trình khởi tạo Windows và trước khi thực thi bất kỳ mã hệ điều hành.

Mục tiêu chính của WPBT là cho phép các tính năng quan trọng như phần mềm chống trộm vẫn tồn tại ngay cả trong các trường hợp hệ điều hành đã được sửa đổi, định dạng hoặc cài đặt lại. Nhưng với khả năng của chức năng là phần mềm như vậy "dính vào thiết bị vô thời hạn", Microsoft đã cảnh báo về những rủi ro bảo mật tiềm ẩn có thể phát sinh từ việc lạm dụng WPBT, bao gồm cả khả năng triển khai rootkit trên các máy Windows.

"Bởi vì tính năng này cung cấp khả năng thực thi liên tục phần mềm hệ thống trong bối cảnh của Windows, điều quan trọng là các giải pháp dựa trên WPBT phải an toàn nhất có thể và không để người dùng Windows gặp phải các điều kiện có thể khai thác", nhà sản xuất Windows lưu ý trong tài liệu của mình. "Đặc biệt, các giải pháp WPBT không được bao gồm phần mềm độc hại (tức là phần mềm độc hại hoặc phần mềm không mong muốn được cài đặt mà không có sự đồng ý đầy đủ của người dùng)."

Lỗ hổng được phát hiện bởi công ty bảo mật phần sụn doanh nghiệp bắt nguồn từ thực tế là cơ chế WPBT có thể chấp nhận tệp nhị phân đã ký với một chứng chỉ đã bị thu hồi hoặc hết hạn để hoàn toàn bỏ qua kiểm tra tính toàn vẹn, do đó cho phép kẻ tấn công ký một tệp nhị phân độc hại với một chứng chỉ hết hạn và chạy mã tùy ý với đặc quyền hạt nhân khi thiết bị khởi động.

Để đáp lại những phát hiện này, Microsoft đã khuyến nghị sử dụng chính sách Kiểm soát ứng dụng của Bộ bảo vệ Windows (WDAC) để hạn chế chặt chẽ những gì mã nhị phân có thể được phép chạy trên thiết bị.

Tiết lộ mới nhất theo sau một loạt các phát hiện riêng biệt vào tháng 6 năm 2021, liên quan đến một loạt bốn lỗ hổng - được gọi chung là BIOS Disconnect - có thể được vũ khí hóa để thực thi từ xa trong phần sụn của thiết bị trong quá trình cập nhật BIOS, làm nổi bật thêm sự phức tạp và những thách thức liên quan đến việc đảm bảo quá trình khởi động.

"Điểm yếu này có thể bị khai thác thông qua nhiều vectơ (ví dụ: truy cập vật lý, từ xa và chuỗi cung ứng) và bằng nhiều kỹ thuật (ví dụ: bộ nạp khởi động độc hại, DMA, v.v.)", các nhà nghiên cứu cho biết. "Các tổ chức sẽ cần phải xem xét các vectơ này và sử dụng cách tiếp cận theo lớp đối với bảo mật để đảm bảo rằng tất cả các bản sửa lỗi có sẵn đều được áp dụng và xác định bất kỳ thỏa hiệp tiềm ẩn nào đối với thiết bị."

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Hội nghị đại lý “Let’s go Next: cybersec...

09/05/2024 10:00:00 148
Chiều ngày 7/5, Kaspersky đã có buổi hội nghị đại lý “Let’s go Next: cybersecurity redefined” tại So...

Họp báo ra mắt dòng sản phẩm chủ lực mới...

09/05/2024 09:00:00 68
Ngày 7/5, Kaspersky tự hào ra mắt giải pháp XDR tiên tiến Kaspersky Next, đồng thời chuyển đổi toàn ...

Google đã ngăn chặn 2,28 triệu ứng dụng ...

29/04/2024 08:00:00 218
Google hôm thứ Hai tiết lộ rằng gần 200.000 ứng dụng gửi tới Play Store dành cho Android đã bị từ ch...

Nhiều ứng dụng AI bị Apple gỡ khỏi App S...

29/04/2024 12:00:00 213
Apple đang tiến hành xử lý một danh mục ứng dụng tạo hình ảnh AI “quảng cáo khả năng tạo ra hình ảnh...

Để kiếm tiền từ Generative AI, các hãng ...

26/04/2024 12:00:00 274
Chi phí đằng sau Generative AI thực sự khá cao, vì nó đòi hỏi nhiều sức mạnh xử lý để đào tạo và vận...

Lỗ hổng bảo mật lớn phơi bày thao tác gõ...

25/04/2024 08:00:00 140
Các lỗ hổng bảo mật được phát hiện trong các ứng dụng bàn phím bính âm dựa trên đám mây có thể bị kh...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ