Destaca la complejidad y los desafíos involucrados en asegurar el proceso de arranque

Investigadores de seguridad han revelado una debilidad sin parchear en la Tabla Binaria de la Plataforma de Microsoft Windows (WPBT) que afecta a todos los dispositivos basados en Windows desde Windows 8 y que podría ser potencialmente explotada para instalar un rootkit y comprometer la integridad de los dispositivos.

"Estas fallas hacen que todos los sistemas Windows sean vulnerables a ataques fáciles de diseñar que instalan tablas fraudulentas específicas de proveedores", dijeron investigadores de Eclypsium en un informe publicado el lunes. "Estas tablas pueden ser explotadas por atacantes con acceso físico directo, con acceso remoto o mediante cadenas de suministro del fabricante. Más importante aún, estas fallas a nivel de la placa base pueden obviar iniciativas como Secured-core debido al uso omnipresente de ACPI [Advanced Configuration and Power Interface] y WPBT".

WPBT, introducido con Windows 8 en 2012, es una función que permite que "el firmware de arranque proporcione a Windows un binario de plataforma que el sistema operativo puede ejecutar".

En otras palabras, permite a los fabricantes de PC señalar ejecutables portátiles firmados u otros controladores específicos del proveedor que forman parte de la imagen de la ROM del firmware UEFI de tal manera que se puede cargar en la memoria física durante la inicialización de Windows y antes de ejecutar cualquier código del sistema operativo.

El objetivo principal de WPBT es permitir que las características críticas, como el software antirrobo, persistan incluso en escenarios donde el sistema operativo ha sido modificado, formateado o reinstalado. Pero dada la capacidad de la característica para que dicho software "se adhiera al dispositivo indefinidamente", Microsoft advirtió sobre posibles riesgos de seguridad que podrían surgir del mal uso de WPBT, incluida la posibilidad de implementar rootkits en máquinas con Windows.

"Debido a que esta característica brinda la capacidad de ejecutar software del sistema de manera persistente en el contexto de Windows, es fundamental que las soluciones basadas en WPBT sean lo más seguras posible y no expongan a los usuarios de Windows a condiciones de explotación", señala el fabricante de Windows en su documentación. "En particular, las soluciones WPBT no deben incluir malware (es decir, software malicioso o software no deseado instalado sin el adecuado consentimiento del usuario)".

La vulnerabilidad descubierta por la empresa de seguridad del firmware empresarial se basa en el hecho de que el mecanismo WPBT puede aceptar un binario firmado con un certificado revocado o caducado para omitir por completo la verificación de integridad, permitiendo así a un atacante firmar un binario malicioso con un certificado caducado ya disponible y ejecutar código arbitrario con privilegios del kernel cuando se inicia el dispositivo.

En respuesta a los hallazgos, Microsoft recomendó el uso de una política de Control de aplicaciones de Windows Defender (WDAC) para restringir estrictamente qué binarios pueden ejecutarse en los dispositivos.

La última divulgación sigue a un conjunto separado de hallazgos en junio de 2021, que involucró un grupo de cuatro vulnerabilidades, llamadas colectivamente Desconexión de BIOS , que podrían usarse para obtener una ejecución remota dentro del firmware de un dispositivo durante una actualización de la BIOS, destacando aún más la complejidad y los desafíos involucrados en asegurar el proceso de arranque.

"Esta debilidad puede potencialmente explotarse a través de múltiples vectores (por ejemplo, acceso físico, remoto y cadena de suministro) y mediante múltiples técnicas (por ejemplo, cargador de arranque malicioso, DMA, etc.)", dijeron los investigadores. "Las organizaciones deberán considerar estos vectores y emplear un enfoque de seguridad en capas para garantizar que se apliquen todas las correcciones disponibles e identificar cualquier potencial compromiso para los dispositivos".