Windows WPBT-Schwachstelle ermöglicht Rootkit-Installation

Windows[English]Ich möchte nochmals ein Sicherheitsthema hochspülen, welches Nutzer von Windows-Systemen betrifft. Im September wurde bekannt, dass eine Schwachstelle in WPBT es Angreifern ermöglicht, ein Rootkit auf Windows-Rechnern zu installieren. Der Benutzer kann praktisch nichts dagegen tun und muss auf Microsofts Sicherheitsfunktionen wie WDAC hoffen.


Anzeige

Microsoft, Intel und weitere Hersteller erzählen uns seit Jahren, wie sicher die Systeme geworden sind. Intels Management Engine, Microsofts UEFI, Secure Boot und TPM, und was weiß ich. Dabei sind die Systeme sicherheitsmäßig teilweise löchrig wie ein Schweizer Käse.

Damoklesschwert WPBT

Wir müssen einen Zeitsprung zurück ins Jahr 2015 machen. Seinerzeit hatte ich das Thema WPBT bereits im Blog-Beitrag Backdoor 'Windows Platform Binary Table' (WPBT) angesprochen. Damals ging es um die Lenovo Service Engine, die Mist machte, aber auch eine Windows Neuinstallation überlebt (siehe Blog-Beitrag Lenovo Service Engine (LSE) – Superfish reloaded II) – WPBT macht dies möglich.

Mit Windows 8 hat Microsoft die Basics gelegt, um ganz schöne Schweinereien auf Systemen zu treiben. Die Technik firmiert unter dem Namen 'Windows Platform Binary Table' (WPBT) und ist in diesem Word .docx-Dokument detailliert beschrieben (siehe auch den Blog-Beitrag Backdoor 'Windows Platform Binary Table' (WPBT).

Mit WPBT wird die Möglichkeit geschaffen, beim Booten bereits in der BIOS-Boot-Phase (UEFI fällt auch darunter), Code auszuführen, um Windows-Betriebssysteme zu manipulieren. So können Treiber, Updater etc. in der Boot-Phase (aus den ACPI-Tabellen des BIOS) injiziert werden. Ursprüngliche Idee war, dass OEMs die Möglichkeit haben sollten, Updates – unabhängig davon, ob der Anwender ein Clean Install von Windows vorgenommen hat – vorzunehmen.


Anzeige

Lenovo nutzte das, um einen eigenen Updater in den Windows-Autostart einzubinden, egal was der Nutzer machte. Und hier findet sich der Hinweis, das HP und Dell dies verwenden, um über die Funktionstaste [F6] Treiber aus dem BIOS in ein Windows zu injizieren.

Die WPBT-Schwachstelle

Sicherheitsforscher von Eclypsium hatten das Thema Mitte September 2021 im Beitrag EVERYONE GETS A ROOTKIT aufgegriffen. Das Eclypsium-Forschungsteam hat eine Schwachstelle in der WPBT-Funktion von Microsoft identifiziert, die es einem Angreifer ermöglichen kann, beim Hochfahren eines Geräts bösartigen Code mit Kernel-Rechten auszuführen.

Das Problem ergibt sich, weil Microsoft zwar verlangt, dass eine WPBT-Binärdatei signiert ist, aber ein abgelaufenes oder widerrufenes Zertifikat akzeptiert. Das bedeutet, dass ein Angreifer eine bösartige Binärdatei mit einem beliebigen, leicht verfügbaren, abgelaufenen Zertifikat signieren kann. Dieses Problem betrifft alle Windows-basierten Geräte seit Windows 8, als WPBT erstmals eingeführt wurde. Die Forscher haben den Angriff erfolgreich auf modernen Secured-Core-PCs demonstriert, auf denen die neuesten Boot-Schutzmaßnahmen laufen.

Diese Schwachstelle kann potenziell über mehrere Vektoren (z. B. physischer Zugriff, Fernzugriff und Lieferkette) und durch mehrere Techniken (z. B. bösartiger Bootloader, DMA usw.) ausgenutzt werden. Unternehmen müssen diese Vektoren berücksichtigen und einen mehrschichtigen Sicherheitsansatz verfolgen, um sicherzustellen, dass alle verfügbaren Korrekturen angewandt und potenzielle Schwachstellen der Geräte erkannt werden.

WDAC: Schutz über Gürtel und Hosenträger

Die Kollegen von Bleeping Computer haben das in diesem Beitrag aufgegriffen, und thematisieren auch die Lösung Microsofts, um sich vor so etwas zu schützen. Microsoft empfiehlt die Verwendung einer Windows Defender Application Control-Richtlinie (WDAC). Mit dieser lässt sich kontrollieren, welche Binärdateien auf einem Windows-Gerät ausgeführt werden können. Das wirkt auch für in der WPBT enthaltenen Binärdateien.

Diese Empfehlung hat aber gleich mehrere Haken. WDAC steht nur in Windows 10 Enterprise-Systemen ab Windows 10 1903 und höher, auf Windows 11 oder auf Windows Server 2016 und höher bereit, bzw. die Richtlinien können nur dort erstellt werden. Bei älteren Windows-Versionen können Administratoren AppLocker-Richtlinien verwenden, um zu steuern, welche Apps auf einem Windows-Client ausgeführt werden dürfen.

Aber alle Home-Editionen sind außen vor. Wieder ein Beispiel, wo die "klugen Ideen" der Hersteller die Nutzer ziemlich aus dem Fenster hängen. Linux-Installationen sind in diesem Szenario eher nicht gefährdet, da diese die Windows WPBT-Binärdateien nicht ausführen. Wieder ein Fall, der zeigt, dass wir hin zu Open Source Hard- und Software kommen müssen, so dass solche Schweinereien wie WPBT ausgebaut werden können.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows, Windows 10 abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu Windows WPBT-Schwachstelle ermöglicht Rootkit-Installation

  1. Homeadmin sagt:

    > Windows [dies und das]-Schwachstelle ermöglicht Rootkit-Installation

    Neverending Story.

    > .. wie sicher die Systeme geworden sind. Intels Management Engine, Microsofts UEFI, Secure Boot und TPM, und was weiß ich.

    Intels Management Engine passt so gar nicht in die Aufzählung, IME ist per se selbst ein Rootkit, mächtiger als jedes Softwarerootkit jemals sein kann und stellt als Hauptzweck Zugang durch Dritte sicher…

    > Microsoft empfiehlt die Verwendung einer Windows Defender Application Control-Richtlinie (WDAC). Mit dieser lässt sich kontrollieren, welche Binärdateien auf einem Windows-Gerät ausgeführt werden können.

    Wobei WDAC dann eben durch passende früher laufende OS Patches ausge"rootkittet" wird. Null Sicherheitszuwachs, nur etwas mehr Rootkitcode nötig.

    Der totale Lockdown kommt, siehe iOS, jegliche Software nur noch über Hersteller Store, Daten nur noch in Hersteller Cloud, Hochfahren/Login nur noch mit globaler persönlicher digitaler Identität.

    You will be happy.

  2. Tom sagt:

    Ach wer hätte das gedacht… wieder eine Schwachstelle

  3. Jackie sagt:

    Asus Mainboards nutzen das auch um einem so einen ekligen Updater zu installieren der dann auch noch einen Dienst mit installiert. :(

  4. fre4kyC0de sagt:

    Da hilft folgender Einzeiler (äquivalent in Windows ISOs eingebettet bei mir seit 2018):
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager" /v "DisableWpbtExecution" /t REG_DWORD /d "1" /f

    Viele Grüße

  5. 1ST1 sagt:

    Mit welchen Rechten werden denn WPBT Applikationen aus UEFI ausgeführt? Lokaler Admin oder System? Da nützt Applocker nichts, und WDAC wahrscheinlich nach auch nichts.

  6. Stefan Kanthak sagt:

    WPDT-Programme sind NATIVE NT-Programme, die laufen UNTERHALB von Windows, völlig unbeeinflusst von AppLocker oder SAFER.
    Ich bezweifle auch STARK, dass WDAC wirkt…

    Wer prüfen will, ob (s)ein Spielzeug eine WPDT ACPI-Tabelle hat, kann sich mit dem [N]MAKEfile ein Windows-Programm bauen, das die Kommandozeile(nargumente) des vom "Session Manager" gestarteten Programms anzeigt.

    • 1ST1 sagt:

      Nettes kleines Tool, aber leider nicht in einem Startup/Login-Script verwendbar, da es das Ergebnis in einem Fenster ausgibt, wo man die Ausgabe nicht in eine Logdatei umleiten kann. (Sexy wäre wenn es in diese Ausgabe den Computernamen (fqdn) mit dem Status ausgeben würde, dann könnte man das zentral überwachen!) Alternativ, ein vergleichbarer Powershell-Befehl wäre auch hilfreich.

  7. user sagt:

    Gibt es noch mehr ACPI Funktionen, die so etwas wie bei WPBT oder noch andere Dinge drauf haben?

    WMI ist glaube ich auch so eine kritische Sache.
    https://blog.malwarebytes.com/cybercrime/2016/10/explained-wmi-hijackers/

    Mit NirSoft's FirmwareTablesView kann man sich anschauen was geladen wird.
    Quelle:
    https://github.com/Jamesits/dropWPBT#from-windows

    Zu APCI.
    Mark Shuttleworth
    Zitat:
    "ACPI, firmware and your security
    Monday, March 17th, 2014

    Arguing for ACPI on your next-generation device is arguing for a trojan horse of monumental proportions to be installed in your living room and in your data centre. I've been to Troy, there is not much left."
    Quelle: https://web.archive.org/web/20230323204330/https://www.markshuttleworth.com/archives/1332

    Was mir noch sorgen macht, sind die Fernwartungsmöglichkeiten. AMT, CIRA, Intel RPAT und andere die Teils auf Bios-Ebene(ASF) lauffähig sein können, jedenfalls so wie ich es verstanden habe.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.