Un nuevo fallo en Microsoft Windows, podría permitir a los ciberdelincuentes, instalar fácilmente un rootkit

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Investigadores de seguridad, han revelado una debilidad no parcheada en Microsoft Windows Platform Binary Table (WPBT) que afecta a todos los dispositivos basados en Windows desde Windows 8 y que podría ser potencialmente explotada para instalar un rootkit y comprometer la integridad de los dispositivos.

“Estos defectos hacen que todos los sistemas Windows sean vulnerables a ataques de fácil elaboración que instalan tablas fraudulentas específicas del proveedor”, señalan los investigadores de Eclypsium en un informe publicado este lunes. “Estas tablas pueden ser explotadas por atacantes con acceso físico directo, con acceso remoto o a través de las cadenas de suministro de los fabricantes. Y lo que es más importante, estos fallos a nivel de placa base pueden obviar iniciativas como Secured-core debido al uso omnipresente de ACPI [Advanced Configuration and Power Interface] y WPBT.”

WPBT, introducido con Windows 8 en 2012, es una característica que permite que “el firmware de arranque proporcione a Windows un binario de plataforma que el sistema operativo pueda ejecutar.”

En otras palabras, permite a los fabricantes de PCs apuntar a unos ejecutables portátiles firmados o a otros controladores específicos del proveedor que vienen como parte de la imagen ROM del firmware UEFI, de tal manera que se pueda cargar en la memoria física durante la inicialización de Windows y antes de ejecutar cualquier código del sistema operativo.

El objetivo principal de WPBT es permitir que las características críticas, como el software antirrobo, persistan incluso en escenarios en los que el sistema operativo ha sido modificado, formateado o reinstalado. Pero dada la capacidad de la funcionalidad para que dicho software “se adhiera al dispositivo indefinidamente”, Microsoft ha advertido de los potenciales riesgos de seguridad que podrían surgir del mal uso de WPBT, incluyendo la posibilidad de desplegar rootkits en máquinas Windows.

La vulnerabilidad descubierta por la compañía de seguridad de firmware empresarial tiene su origen en el hecho de que el mecanismo WPBT puede aceptar un binario firmado con un certificado revocado o caducado para saltarse completamente la comprobación de integridad, lo que permite a un atacante firmar un binario malicioso con un certificado caducado ya disponible y ejecutar código arbitrario con privilegios del kernel cuando el dispositivo arranca.

En respuesta a los hallazgos, Microsoft ha recomendado el uso de una política de control de aplicaciones de Windows Defender (WDAC) para controlar estrictamente qué binarios pueden ejecutarse en los dispositivos.

La última revelación sigue a un conjunto separado de hallazgos en junio de 2021, que involucró a un conjunto de cuatro vulnerabilidades – colectivamente llamadas BIOS Disconnect – que podrían ser armadas para obtener la ejecución remota dentro del firmware de un dispositivo durante una actualización de la BIOS, destacando aún más la complejidad y los desafíos involucrados en la seguridad del proceso de arranque.

Info – Ciberseguridad Latam