固件安全公司Eclypsium的安全研究人员在微软Windows平台二进制表（WPBT）中发现了一个漏洞，可以利用这个漏洞在2012年以来发布的所有Windows电脑上安装rootkit。Rootkits是一种恶意工具，威胁行为者通过隐蔽潜伏在操作系统中来逃避检测，并用来完全接管受害的系统。WPBT是一个固定的固件ACPI（高级配置和电源接口）表，由微软从Windows 8开始引入，允许供应商在每次设备启动时执行程序。

　　然而，除了允许OEM厂商强制安装无法与Windows安装介质绑定的关键软件外，这种机制还允许攻击者安装恶意工具，正如微软在其自己的文档中警告的那样。

　　该功能旨在让oem包含重要的文件、驱动程序或系统可执行文件，而不需要修改磁盘上的Windows映像。联想（Lenovo）、华硕（ASUS）等许多厂商都使用了这一技术。然而，通过执行文件和修改操作系统，这种类型的功能可以被视为特定于供应商的rootkit。广受赞誉的研究员和Windows Internals的合著者，Alex Ionescu，早在2012年就一直在呼吁WPBT作为rootkit的危险，并一直持续到今天。

　　微软解释说：“由于该特性提供了在Windows环境中持续执行系统软件的能力，因此，基于WPBT的解决方案尽可能安全、不让Windows用户暴露在可利用条件下就变得至关重要。”

　　“特别是，WPBT解决方案必须不包括恶意软件（即恶意软件或不必要的软件安装没有充分的用户同意）。”

　　影响所有运行Windows 8及以上版本的计算机

　　Eclypsium公司研究人员发现，自2012年Windows 8首次引入该功能以来，Windows电脑上就存在这一缺陷。这些攻击可以使用各种允许向ACPI表（包括WPBT）所在的内存写入数据的技术，或者使用恶意的引导加载程序。

　　这可能是通过滥用绕过安全引导的boohole漏洞或通过来自脆弱的外围设备或组件的DMA（DIRECT MEMORY ACCESS，直接内存访问）攻击造成的。

　　“Eclypsium研究团队已经发现了微软WPBT功能的一个弱点，它可以允许攻击者在设备启动时使用内核特权运行恶意代码，”Eclypsium研究人员说。

　　“这种弱点可以通过多种载体（如物理访问、远程和供应链）和多种技术（如恶意引导加载程序、DMA等）加以利用。”

　　缓解措施包括使用WDAC政策

　　在Eclypsium告知微软这个漏洞后，软件巨头建议使用Windows防卫应用程序控制策略（WDAC），允许控制哪些二进制文件可以在Windows设备上运行。

　　微软在支持文档中表示：“WDAC策略也对WPBT中包含的二进制文件实施，应该可以缓解这个问题。”

　　WDAC策略只能在Windows 10 1903及更高版本、Windows 11或Windows Server 2016及更高版本的客户端上创建。

　　在运行旧版本Windows的系统上，你可以使用AppLocker策略来控制哪些应用程序可以在Windows客户端上运行。

　　Eclypsium的研究人员补充说：“由于ACPI和WPBT的普遍使用，这些主板级别的缺陷可以避免Secured-core这样的举措。”

　　“安全专业人员需要识别、验证和加强Windows系统中使用的固件。组织需要考虑这些向量，并采用分层的安全方法，以确保所有可用的修复程序都得到应用，并识别任何对设备的潜在危害。”

　　Eclypsium发现了另一种攻击载体，允许威胁行为者控制目标设备的引导过程，并破坏Dell SupportAssist的BIOSConnect特性中的操作系统级安全控制。Dell SupportAssist是一种在大多数戴尔Windows设备上预先安装的软件。

　　正如研究人员所揭示的那样，这个问题“影响了129种戴尔型号的消费和商业笔记本电脑、台式机和平板电脑，包括受安全启动保护的设备和戴尔安全核个人电脑”，大约有3000万台个人设备暴露在攻击之下。

　　三个月前，Dell电脑的漏洞已有报道。3000万Dell PC用户当心：你已被黑客瞄准