Fecha de publicación: Jue, 23/09/2021 - 10:42

Alerta de seguridad

Nivel de peligrosidad: Alto

Descripción

El equipo de Eclypsium ha identificado una debilidad en la capacidad WPBT de Microsoft que puede permitir que un atacante ejecute código malicioso con privilegios del kernel cuando se inicia un dispositivo. WPBT es una función que permite a los OEM modificar el sistema operativo host durante el arranque para incluir controladores, aplicaciones y contenido específicos del proveedor.

El problema se debe al hecho de que, si bien Microsoft requiere que se firme un binario WPBT, aceptará un certificado caducado o revocado. Esto significa que un atacante puede firmar un binario malicioso con cualquier certificado caducado fácilmente disponible. Este problema afecta a todos los dispositivos basados en Windows que se remontan a Windows 8 cuando se introdujo WPBT por primera vez.

Esta vulnerabilidad puede explotarse a través de múltiples vectores:

  • Ataque con acceso físico: Un atacante con acceso físico puede lanzar un ataque DMA para leer y escribir directamente la memoria del sistema y, por lo tanto, parchear la tabla WPBT. Algunos ataques DMA se pueden realizar sin abrir el chasis del dispositivo, mientras que otros requerirán el paso más invasivo de abrir el dispositivo.
  •     Ataque con acceso remoto: Los atacantes remotos pueden comprometer los dispositivos de diversas formas. El malware como TrickBot puede identificar firmware UEFI vulnerable que puede verse comprometido directamente. Con el control del firmware, el atacante podría controlar directamente WPBT. Del mismo modo, el malware o los atacantes remotos podrían usar vulnerabilidades como BootHole para ejecutar un cargador de arranque malicioso capaz de actualizar WPBT.
  •     Ataque a la cadena de suministro: También se puede introducir firmware malicioso en la cadena de suministro o en el proceso de actualización del proveedor. Además de comprometer el firmware UEFI/BIOS, el firmware dentro de los dispositivos con capacidad DMA, como SSD, adaptadores de red o interfaces PCIe, podría provocar una corrupción de la tabla WPBT.

Recursos afectados

  • Microsoft Windows 8
  • Microsoft Windows 8.1
  • Microsoft Windows 10

Solución

Microsoft recomienda a los clientes que utilicen Windows Defender Application Control (WDAC) para limitar lo que se permite ejecutar en sus dispositivos. La política de WDAC también se aplica a los binarios incluidos en WPBT y debería mitigar esta vulnerabilidad.

Prueba de concepto

Eclypsium realiza su prueba de concepto desde una posición privilegiada después de haber comprometido el firmware del sistema durante el proceso de actualización. Sin embargo, este tiipo de ataque es posible utilizando cualquier técnica que pueda escribir en la memoria donde se encuentran las tablas ACPI (incluida WPBT).

Recomendaciones

Los equipos de seguridad deben escanear los dispositivos para identificar los componentes que son vulnerables a los ataques DMA y verificar que todas las protecciones DMA de los proveedores estén habilitadas correctamente.

Se necesitará escanear los dispositivos en busca de cualquiera de las muchas vulnerabilidades que podrían permitir a los atacantes comprometer el firmware o el proceso de arranque. Los equipos deberán verificar que todas las protecciones de proveedores disponibles estén habilitados, incluidas las protecciones incluidas con UEFI, el proveedor del chipset, el proveedor del sistema operativo y cualquier protección específica de OEM. Los equipos también deberán asegurarse de que su base de datos de revocación UEFI dbx esté actualizada. Los equipos de seguridad deben verificar la integridad de todo el firmware.

Implementar una política de WDAC que sea restrictiva como práctica para su entorno. Puede encontrar documentación sobre WDAC aquí.

Referencias

Nuevo error en Microsoft Windows permitiría instalar fácilmente un rootkit