dufårrootkitogdufårrootkitogdufår
Selv Windows 11 er utsatt og Microsoft bør derfor revurdere hvordan de håndterer fastvare-sertifikater for oppstart i alle versjoner fra Windows 8.

Annonse


Alle Windows-versjoner er utsatt

En feil i “Windows Platform Binary Table” gjør det mulig for angripere å installere rootkits på Windows 8 og nyere.

Microsofts løsning ser ikke ut til å være optimal for maks sikkerhet

Feilen kan utnyttes med fysisk, fjerntilgang eller via distribusjonskjeder.

Nå anbefaler Microsoft å aktivere “Windows Defender Application Control”-regelen i bedrifter. Dette aktiverer nemlig strengere kontroll over hvilken kode som kjører på maskinen og åpner usikkert innhold i et lukket miljø .

Problemet er nemlig at WPBT-sjekken (sikkerhetsmekanismen ble introdusert i 2012 med Windows 8, og leverer som Microsoft forklarer det “oppstarts-fastvare for å levere til Windows en startfil som OS-et kan kjøre”) kan lures til å akspetere et utgått sikkerhets-sertifikat – på den måten kan angripere kjøre farlig kode med et sertifikat som allerede er tilgjengelig.

Annonse




Mye av poenget med WPBT er å forsvare sikkerhetsprogramvare om man skulle hackes, men fordi disse kan være installert på maskinen i det uendelige, er det viktig at hullene tettes, og det har ikke skjedd nå.

WPBT er ikke sikkert om det ikke oppdateres

Ifølge sikkerhetsekspertene hos “Eclypsium“, er det veldig enkelt å utnytte feilen.

“Disse feilene gjør samtlige Windows-systemer utsatte for angrep som enkelt kan sette samme og som installerer skadelig kode i utvalgte tabeller. Disse tabellene kan utnyttes av angripere med direkte fysisk tilgang, via nettet eller via distribusjonskanaler. Viktigere er det at feilene i hovedkortene eliminerer “Secured”-kjernen grunnet allestedsnærværende bruk av ACPI (“Advanced Configuration and Power Interface”) og WPBT.

Annonse


Annonse


Annonse


Annonse