En feil i “Windows Platform Binary Table” gjør det mulig for angripere å installere rootkits på Windows 8 og nyere.
Microsofts løsning ser ikke ut til å være optimal for maks sikkerhet
Feilen kan utnyttes med fysisk, fjerntilgang eller via distribusjonskjeder.
Nå anbefaler Microsoft å aktivere “Windows Defender Application Control”-regelen i bedrifter. Dette aktiverer nemlig strengere kontroll over hvilken kode som kjører på maskinen og åpner usikkert innhold i et lukket miljø .
Problemet er nemlig at WPBT-sjekken (sikkerhetsmekanismen ble introdusert i 2012 med Windows 8, og leverer som Microsoft forklarer det “oppstarts-fastvare for å levere til Windows en startfil som OS-et kan kjøre”) kan lures til å akspetere et utgått sikkerhets-sertifikat – på den måten kan angripere kjøre farlig kode med et sertifikat som allerede er tilgjengelig.
Annonse
Mye av poenget med WPBT er å forsvare sikkerhetsprogramvare om man skulle hackes, men fordi disse kan være installert på maskinen i det uendelige, er det viktig at hullene tettes, og det har ikke skjedd nå.
WPBT er ikke sikkert om det ikke oppdateres
Ifølge sikkerhetsekspertene hos “Eclypsium“, er det veldig enkelt å utnytte feilen.
“Disse feilene gjør samtlige Windows-systemer utsatte for angrep som enkelt kan sette samme og som installerer skadelig kode i utvalgte tabeller. Disse tabellene kan utnyttes av angripere med direkte fysisk tilgang, via nettet eller via distribusjonskanaler. Viktigere er det at feilene i hovedkortene eliminerer “Secured”-kjernen grunnet allestedsnærværende bruk av ACPI (“Advanced Configuration and Power Interface”) og WPBT.
Annonse
