セキュリティ研究者は、Microsoft Windows Platform Binary Table (WPBT)に、2012年以降に出荷されたすべてのWindowsコンピュータにルートキットをインストールするための簡単な攻撃に悪用できる脆弱性を発見しました。
ルートキットは、脅威主体がOSの奥深くに埋め込んで検知を逃れるために作成する悪意のあるツールで、検知を逃れながら侵入したシステムを完全に乗っ取るために使用されます。
WPBTは、マイクロソフト社がWindows 8から導入した固定ファームウェアのACPI(Advanced Configuration and Power Interface)テーブルで、デバイスが起動するたびにベンダーがプログラムを実行できるようになっています。
しかし、この仕組みはOEMがWindowsのインストールメディアにバンドルできない重要なソフトウェアを強制的にインストールすることを可能にする以外にも、攻撃者が悪意のあるツールを展開することを可能にする可能性があるとマイクロソフトは警告しています。
この機能は、Windowsのコンテキストでシステムソフトウェアを持続的に実行する能力を提供するため、WPBTベースのソリューションは可能な限り安全であり、Windowsユーザーを悪用可能な状況にさらさないことが重要になります。
特に、WPBTソリューションはマルウェア(悪意のあるソフトウェアや、ユーザーの適切な同意なしにインストールされた不要なソフトウェア)を含んではなりません
とマイクロソフトは説明しています。
Windows 8以降を搭載したすべてのコンピュータに影響
Eclypsiumの研究者が発見した脆弱性は、この機能がWindows 8で初めて導入された2012年以降のWindowsコンピュータに存在します。
これらの攻撃は、ACPIテーブル(WPBTを含む)が配置されているメモリへの書き込みを可能にする様々な技術を使用したり、悪意のあるブートローダを使用したりします。
これには、セキュアブートをバイパスするBootHole脆弱性を悪用する方法や脆弱な周辺機器やコンポーネントからのDMA攻撃を利用する方法があります。
Eclypsium社の研究チームは、マイクロソフト社のWPBT機能に弱点があり、デバイスの起動時に攻撃者がカーネル権限で悪意のあるコードを実行できる可能性があることを確認しました。
この脆弱性は、複数の方法(物理的なアクセス、リモート、サプライチェーンなど)や複数の手法(悪意のあるブートローダー、DMAなど)によって悪用される可能性があります
Eclypsium社は、このセキュリティ上の欠陥がどのように悪用されるかを示す以下のデモビデオを公開しています。
WDACポリシーを用いた緩和策
Eclypsium社がマイクロソフト社にこのバグを報告した後、マイクロソフト社はWindows Defender Application Controlポリシーの使用を推奨しました。
マイクロソフト社は、サポートドキュメントの中で、「WDACポリシーは、WPBTに含まれるバイナリにも適用され、この問題を軽減することができます」と述べています。
WDACポリシーは、Windows 10 1903以降およびWindows 11のクライアントエディション、またはWindows Server 2016以上でのみ作成できます。
古いWindowsリリースを実行しているシステムでは、AppLockerポリシーを使用して、Windowsクライアント上で実行を許可するアプリを制御することができます。
Comments