È stata identificata una vulnerabilità senza patch nella tabella binaria della piattaforma Microsoft Windows (WPBT, Windows Platform Binary Table) che interessa tutti i dispositivi basati su Windows a partire da Windows 8 che potrebbe essere potenzialmente sfruttato per installare un rootkit e compromettere l’integrità dei dispositivi.
“Questi difetti rendono ogni sistema Windows vulnerabile ad attacchi facilmente realizzabili che installano tabelle fraudolente specifiche del fornitore”, hanno affermato i ricercatori di Eclypsium in un rapporto pubblicato lunedì.
Secondo i ricercatori, infatti, queste tabelle possono essere sfruttate da aggressori con accesso fisico diretto o con accesso remoto (o ancora attraverso la supply chain quindi, ad esempio, attraverso aggiornamenti software malevoli, ndr) al sistema esposto.
Inoltre, cosa ancora più importante, una simile vulnerabilità a livello di scheda madre potrebbe di fatto consentire di bypassare i nuovi sistemi di protezione Secured-core, il nuovo programma di sicurezza che Microsoft ha messo a punto con i propri partner che producono componenti hardware proprio per proteggere il firmware dei computer da attacchi sofisticati e bloccare possibili exploit come quelli utilizzati da attori state-sponsored.
Indice degli argomenti
Vulnerabilità in Windows: ecco come installano un rootkit
WPBT, introdotto con Windows 8 nel 2012, è una funzionalità che consente di memorizzare nel firmware UEFI dei file binari che possono essere eseguiti in fase di avvio del sistema, quindi prima del completo caricamento di Windows.
La tabella binaria, quindi, consente solitamente ai produttori di PC di puntare a eseguibili o altri driver specifici del fornitore che fanno parte dell’immagine ROM del firmware UEFI in modo tale da poter essere caricati nella memoria fisica durante l’inizializzazione di Windows e prima di eseguire qualsiasi codice del sistema operativo.
L’obiettivo principale di WPBT dovrebbe essere quella di consentire a una funzionalità critica come ad esempio il software antivirus di persistere anche in scenari in cui il sistema operativo è stato modificato, formattato o reinstallato. Ma data la capacità della funzionalità di far sì che tale software “si attacchi al dispositivo indefinitamente”, Microsoft ha avvertito di potenziali rischi per la sicurezza che potrebbero derivare da un uso improprio di WPBT, inclusa la possibilità di distribuire rootkit su macchine Windows.
Per capirci, la tabella binaria consente ai produttori hardware di configurare il firmware in modo da installare e reinstallare automaticamente il cosiddetto crapware (software spazzatura o comunque preinstallato nella macchina) anche dopo aver completato un’installazione “pulita” di Windows. È evidente che questa funzionalità può essere utilizzata per altri scopi malevoli.
Come mitigare il rischio di installazione dei rootkit
Al momento non c’è ancora una soluzione ufficiale al bug nella piattaforma WPBT.
Per mitigare il rischio di un possibile attacco rootkit, Microsoft consiglia di creare e utilizzare un criterio di Windows Defender Application Control (WDAC) per limitare rigorosamente i file binari che possono essere eseguiti sui dispositivi.
Inoltre, tenendo conto che la vulnerabilità potrebbe essere potenzialmente sfruttata tramite più vettori (ad esempio, accesso fisico, remoto e catena di approvvigionamento) e tramite più tecniche (ad esempio bootloader dannoso, DMA ecc.), è opportuno che le organizzazioni adottino un approccio a più livelli alla sicurezza informatica dei propri sistemi e delle infrastrutture interne.
È altrettanto importante, inoltre, che vengano adottate efficaci politiche di patching per identificare e correggere nel minor tempo possibile eventuali vulnerabilità che potrebbero compromettere i dispositivi aziendali.
Ricordiamo, infine, che la divulgazione di quest’ultima vulnerabilità segue quella che a giugno scorso ha coinvolto una serie di quattro vulnerabilità – chiamate collettivamente BIOS Disconnect – che avrebbero potuto essere sfruttate per ottenere l’esecuzione remota di codice arbitrario all’interno del firmware di un dispositivo durante l’aggiornamento del BIOS. Questo a dimostrazione della complessità e delle sfide coinvolte nella protezione del processo di avvio di un sistema operativo.
