Los investigadores de Eclypsium han encontrado una falla en el firmware WPBT de Microsoft, lo que permite a los atacantes instalar rootkits en el sistema operativo del dispositivo.
Los investigadores también han dicho que esta vulnerabilidad afecta a todos los sistemas que ejecutan Windows 8 y versiones posteriores y puede mitigarse controlando qué archivos binarios pueden ejecutarse en los sistemas Windows.
Una falla en las PC con Windows desde 2012
Si bien es fácil resolver errores en el software de terceros, es difícil o casi imposible mitigar los errores en el firmware y el hardware. Por lo tanto, lo mejor que se puede hacer es identificar la fuente y bloquearla para permanecer inmune.
Una de esas vulnerabilidades es descubierto por investigadores de Eclypsium en la tabla binaria de la plataforma Windows, que los atacantes pueden explotar para instalar rootkits y continuar para obtener más explicaciones.
Tabla binaria de la plataforma Windows (WPBT) es una interfaz de alimentación y configuración avanzada (ACPI) de firmware fijo, que permite a los proveedores ejecutar programas de arranque del sistema. Esto ayuda a proporcionar actualizaciones importantes para parchear errores, que deben ejecutarse durante el arranque.
Al mismo tiempo, también puede ser útil para los atacantes explotar una máquina con Windows hasta el núcleo, ya que pueden aprovechar cualquier vulnerabilidad de arranque con acceso al kernel y escribir sus programas maliciosos en el sistema operativo central.
Los investigadores de Eclypsium dijeron que los atacantes podrían explotar esto a través de varios medios (como acceso físico, remoto y cadena de suministro) y mediante múltiples técnicas (por ejemplo, gestor de arranque malicioso, DMA, etc.).
Esta vulnerabilidad afecta a los sistemas Windows que ejecutan 8 y versiones posteriores, como cuando Microsoft introdujo la tabla binaria de la plataforma Windows. Esto significa que todos los sistemas Windows que se ejecutan desde 2012 pueden verse afectados y deben protegerse.
Al informar esto a Microsoft, el fabricante de Windows ha sugerido una solución delgada: mediante el uso de Política de control de aplicaciones de Windows Defender. Los usuarios deben usar la política WDAC para controlar qué archivos binarios pueden usar el cliente de Windows.
Esta política está disponible en Windows 10 1903 y versiones posteriores y Windows 11 o Windows Server 2016 y versiones posteriores. Y en los sistemas Windows que ejecutan versiones anteriores, puede usar las políticas de AppLocker para controlar lo mismo.
