Investigadores de seguridad han revelado una debilidad no parcheada en la tabla binaria de la plataforma Microsoft Windows (WPBT) que afecta a todos los dispositivos basados en Windows desde Windows 8 y que podría ser potencialmente explotada para instalar un rootkit y comprometer la integridad de los dispositivos.
«Estos defectos hacen que todos los sistemas Windows sean vulnerables a ataques de fácil elaboración que instalan tablas fraudulentas específicas del proveedor», señalan los investigadores de Eclypsium en un informe publicado este lunes. «Estas tablas pueden ser explotadas por atacantes con acceso físico directo, con acceso remoto o a través de las cadenas de suministro de los fabricantes. Y lo que es más importante, estos fallos a nivel de placa base pueden obviar iniciativas como Secured-core debido al uso omnipresente de ACPI [Advanced Configuration and Power Interface] y WPBT.»
WPBT, introducido con Windows 8 en 2012, es una característica que permite que «el firmware de arranque proporcione a Windows un binario de plataforma que el sistema operativo pueda ejecutar.»
En otras palabras, permite a los fabricantes de PC apuntar a ejecutables portátiles firmados u otros controladores específicos del proveedor que vienen como parte de la imagen ROM del firmware UEFI de tal manera que se puede cargar en la memoria física durante la inicialización de Windows y antes de ejecutar cualquier código del sistema operativo.
El objetivo principal de WPBT es permitir que las características críticas, como el software antirrobo, persistan incluso en escenarios en los que el sistema operativo ha sido modificado, formateado o reinstalado. Pero dada la capacidad de la funcionalidad para que dicho software «se adhiera al dispositivo indefinidamente», Microsoft ha advertido de los posibles riesgos de seguridad que podrían surgir del mal uso de WPBT, incluida la posibilidad de desplegar rootkits en máquinas Windows.
«Dado que esta función ofrece la posibilidad de ejecutar persistentemente software del sistema en el contexto de Windows, resulta fundamental que las soluciones basadas en WPBT sean lo más seguras posible y no expongan a los usuarios de Windows a condiciones explotables», señala el fabricante de Windows en su documentación. «En particular, las soluciones WPBT no deben incluir malware (es decir, software malicioso o software no deseado instalado sin el adecuado consentimiento del usuario)».
La vulnerabilidad descubierta por la empresa de seguridad de firmware empresarial tiene su origen en el hecho de que el mecanismo WPBT puede aceptar un binario firmado con un certificado revocado o caducado para saltarse por completo la comprobación de integridad, lo que permite a un atacante firmar un binario malicioso con un certificado caducado ya disponible y ejecutar código arbitrario con privilegios del kernel cuando el dispositivo arranca.
En respuesta a los hallazgos, Microsoft ha recomendado el uso de una política de control de aplicaciones de Windows Defender (WDAC) para restringir estrictamente los binarios que se pueden ejecutar en los dispositivos.
La última revelación sigue a un conjunto separado de hallazgos en junio de 2021, que implicó un grupo de cuatro vulnerabilidades – colectivamente llamado BIOS Disconnect – que podría ser un arma para obtener la ejecución remota dentro del firmware de un dispositivo durante una actualización de la BIOS, destacando aún más la complejidad y los desafíos involucrados en la seguridad del proceso de arranque.
«Esta debilidad puede ser potencialmente explotada a través de múltiples vectores (por ejemplo, acceso físico, remoto y cadena de suministro) y por múltiples técnicas (por ejemplo, bootloader malicioso, DMA, etc.)», dijeron los investigadores. «Las organizaciones tendrán que tener en cuenta estos vectores y emplear un enfoque de seguridad por capas para asegurarse de que se aplican todas las correcciones disponibles e identificar cualquier compromiso potencial de los dispositivos.»