Peneliti keamanan telah menemukan kelemahan dalam implementasi Microsoft dari mekanisme Microsoft Windows Platform Binary Table (WPBT), yang dapat dieksploitasi untuk mengkompromikan komputer yang sedang berjalan Windows 8 (terbuka di tab baru) dan Windows 10 (terbuka di tab baru) sistem operasi.
Microsoft menggambarkan WPBT sebagai tabel Advanced Configuration and Power Interface (ACPI) firmware tetap yang diperkenalkan dengan Windows 8 untuk memungkinkan OEM dan vendor menjalankan program setiap kali perangkat Windows melakukan booting.
“Tim peneliti Eclypsium telah mengidentifikasi kelemahan dalam kemampuan WPBT Microsoft yang memungkinkan penyerang menjalankan kode berbahaya dengan hak istimewa kernel saat perangkat melakukan booting,” catatan (terbuka di tab baru) para peneliti.
Para peneliti mendukung klaim mereka dengan video yang menunjukkan serangan terhadap a PC inti aman (terbuka di tab baru) menjalankan perlindungan boot terbaru.
Perangkat root OEM
Para peneliti mengklaim bahwa sementara WPBT telah diadopsi oleh vendor populer termasuk lenovo (terbuka di tab baru), ASUS (terbuka di tab baru)dan beberapa lainnya, peneliti keamanan dan rekan penulis Internal WindowsAlex Ionescu telah menandai bahaya WPBT sebagai rootkit sejak 2012.
Eclypsium menemukan kerentanan di WPBT saat mengerjakan kerentanan BIOSDisconnect (terbuka di tab baru) itu dilaporkan awal tahun ini pada bulan Juni, yang terungkap perangkat Dell (terbuka di tab baru) untuk serangan eksekusi jarak jauh.
Masalah WPBT berasal dari fakta bahwa meskipun Microsoft memerlukan biner WPBT untuk ditandatangani, ia akan menerima sertifikat yang kedaluwarsa atau dicabut, memberikan kesempatan kepada penyerang untuk menandatangani binari berbahaya dengan “sertifikat kedaluwarsa yang tersedia”.
“Kelemahan ini berpotensi dieksploitasi melalui banyak vektor (misalnya akses fisik, jarak jauh, dan rantai pasokan) dan dengan berbagai teknik (misalnya bootloader berbahaya, DMA, dll),” alasan para peneliti.
