Узнайте, как Varonis выявляет признаки атак программ-вымогателей и нетипичную активность на каждом из этапов Kill Chain. Читать whitepaper »
Команда специалистов в области кибербезопасности выявила непропатченную уязвимость в Windows Platform Binary Table (WPBT), затрагивающую все устройства на Windows с момента выхода Windows 8. В случае успешной эксплуатации дыра позволяет установить руткит.
Подробности уязвимости рассказали эксперты компании Eclypsium, отметившие в отчёте следующее:
«Этот баг создаёт вектор атаки на любое Windows-устройство. В сущности, брешь можно использовать локально, удалённо или даже с помощью цепочки поставок аппаратных составляющих».
«Что ещё более важно — эта уязвимость находится на уровне материнской платы, поэтому способна обойти ряд защитных механизмов вроде Secured-core».
Известно, что при эксплуатации бреши задействуется функция WPBT, которую разработчики представили в 2021 с выходом Windows 8. WPBT, как известно, позволяет производителям указывать на подписанные исполняемые файлы или драйверы, представляющие собой часть прошивки UEFI.
В этом случае подобные драйверы получают возможность загружаться в физическую память в процессе инициализации Windows — то есть до запуска кода операционной системы. Основная задача WPBT — обеспечить критически важным функциям возможность запускаться вне зависимости от ОС. Это, например, отлично подходит для софта, призванного бороться с кражей устройств.
Тем не менее использование WPBT может представлять и риски, как отметила сама Microsoft. Например, с помощью этой технологии киберпреступники могут установить руткит.
Услышав доводы специалистов, Microsoft посоветовала использовать политику Windows Defender Application Control (WDAC), которая поможет ограничить число бинарников, имеющих возможность работать в системе.
