{"id":258973,"date":"2021-10-30T18:13:15","date_gmt":"2021-10-30T16:13:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=258973"},"modified":"2021-10-30T22:11:52","modified_gmt":"2021-10-30T20:11:52","slug":"windows-wpbt-schwachstelle-ermglicht-rootkit-installation","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/10\/30\/windows-wpbt-schwachstelle-ermglicht-rootkit-installation\/","title":{"rendered":"Windows WPBT-Schwachstelle ermöglicht Rootkit-Installation"},"content":{"rendered":"

\"Windows\"[English<\/a>]Ich m\u00f6chte nochmals ein Sicherheitsthema hochsp\u00fclen, welches Nutzer von Windows-Systemen betrifft. Im September wurde bekannt, dass eine Schwachstelle in WPBT es Angreifern erm\u00f6glicht, ein Rootkit auf Windows-Rechnern zu installieren. Der Benutzer kann praktisch nichts dagegen tun und muss auf Microsofts Sicherheitsfunktionen wie WDAC hoffen.<\/p>\n

<\/p>\n

\"\"Microsoft, Intel und weitere Hersteller erz\u00e4hlen uns seit Jahren, wie sicher die Systeme geworden sind. Intels Management Engine, Microsofts UEFI, Secure Boot und TPM, und was wei\u00df ich. Dabei sind die Systeme sicherheitsm\u00e4\u00dfig teilweise l\u00f6chrig wie ein Schweizer K\u00e4se.<\/p>\n

Damoklesschwert WPBT<\/h2>\n

Wir m\u00fcssen einen Zeitsprung zur\u00fcck ins Jahr 2015 machen. Seinerzeit hatte ich das Thema WPBT bereits im Blog-Beitrag Backdoor 'Windows Platform Binary Table' (WPBT)<\/a> angesprochen. Damals ging es um die Lenovo Service Engine, die Mist machte, aber auch eine Windows Neuinstallation \u00fcberlebt (siehe Blog-Beitrag Lenovo Service Engine (LSE) \u2013 Superfish reloaded II<\/a>) \u2013 WPBT macht dies m\u00f6glich.<\/p>\n

Mit Windows 8 hat Microsoft die Basics gelegt, um ganz sch\u00f6ne Schweinereien auf Systemen zu treiben. Die Technik firmiert unter dem Namen 'Windows Platform Binary Table' (WPBT) und ist in diesem Word .docx-Dokument<\/a> detailliert beschrieben (siehe auch den Blog-Beitrag Backdoor 'Windows Platform Binary Table' (WPBT)<\/a>.<\/p>\n

Mit WPBT wird die M\u00f6glichkeit geschaffen, beim Booten bereits in der BIOS-Boot-Phase (UEFI f\u00e4llt auch darunter), Code auszuf\u00fchren, um Windows-Betriebssysteme zu manipulieren. So k\u00f6nnen Treiber, Updater etc. in der Boot-Phase (aus den ACPI-Tabellen des BIOS) injiziert werden. Urspr\u00fcngliche Idee war, dass OEMs die M\u00f6glichkeit haben sollten, Updates \u2013 unabh\u00e4ngig davon, ob der Anwender ein Clean Install von Windows vorgenommen hat \u2013 vorzunehmen.<\/p>\n

Lenovo nutzte das, um einen eigenen Updater in den Windows-Autostart einzubinden, egal was der Nutzer machte. Und hier<\/a> findet sich der Hinweis, das HP und Dell dies verwenden, um \u00fcber die Funktionstaste [F6] Treiber aus dem BIOS in ein Windows zu injizieren.<\/p>\n

Die WPBT-Schwachstelle<\/h2>\n

Sicherheitsforscher von Eclypsium hatten das Thema Mitte September 2021 im Beitrag EVERYONE GETS A ROOTKIT<\/a> aufgegriffen. Das Eclypsium-Forschungsteam hat eine Schwachstelle in der WPBT-Funktion von Microsoft identifiziert, die es einem Angreifer erm\u00f6glichen kann, beim Hochfahren eines Ger\u00e4ts b\u00f6sartigen Code mit Kernel-Rechten auszuf\u00fchren.<\/p>\n

Das Problem ergibt sich, weil Microsoft zwar verlangt, dass eine WPBT-Bin\u00e4rdatei signiert ist, aber ein abgelaufenes oder widerrufenes Zertifikat akzeptiert. Das bedeutet, dass ein Angreifer eine b\u00f6sartige Bin\u00e4rdatei mit einem beliebigen, leicht verf\u00fcgbaren, abgelaufenen Zertifikat signieren kann. Dieses Problem betrifft alle Windows-basierten Ger\u00e4te seit Windows 8, als WPBT erstmals eingef\u00fchrt wurde. Die Forscher haben den Angriff erfolgreich auf modernen Secured-Core-PCs demonstriert, auf denen die neuesten Boot-Schutzma\u00dfnahmen laufen.<\/p>\n

Diese Schwachstelle kann potenziell \u00fcber mehrere Vektoren (z. B. physischer Zugriff, Fernzugriff und Lieferkette) und durch mehrere Techniken (z. B. b\u00f6sartiger Bootloader, DMA usw.) ausgenutzt werden. Unternehmen m\u00fcssen diese Vektoren ber\u00fccksichtigen und einen mehrschichtigen Sicherheitsansatz verfolgen, um sicherzustellen, dass alle verf\u00fcgbaren Korrekturen angewandt und potenzielle Schwachstellen der Ger\u00e4te erkannt werden.<\/p>\n

WDAC: Schutz \u00fcber G\u00fcrtel und Hosentr\u00e4ger<\/h2>\n

Die Kollegen von Bleeping Computer haben das in diesem Beitrag<\/a> aufgegriffen, und thematisieren auch die L\u00f6sung Microsofts, um sich vor so etwas zu sch\u00fctzen. Microsoft empfiehlt die Verwendung einer Windows Defender Application Control-Richtlinie (WDAC). Mit dieser l\u00e4sst sich kontrollieren, welche Bin\u00e4rdateien auf einem Windows-Ger\u00e4t ausgef\u00fchrt werden k\u00f6nnen. Das wirkt auch f\u00fcr in der WPBT enthaltenen Bin\u00e4rdateien.<\/p>\n

Diese Empfehlung hat aber gleich mehrere Haken. WDAC steht nur in Windows 10 Enterprise-Systemen ab Windows 10 1903 und h\u00f6her, auf Windows 11 oder auf Windows Server 2016 und h\u00f6her bereit, bzw. die Richtlinien k\u00f6nnen nur dort erstellt werden. Bei \u00e4lteren Windows-Versionen k\u00f6nnen Administratoren AppLocker-Richtlinien verwenden, um zu steuern, welche Apps auf einem Windows-Client ausgef\u00fchrt werden d\u00fcrfen.<\/p>\n

Aber alle Home-Editionen sind au\u00dfen vor. Wieder ein Beispiel, wo die \"klugen Ideen\" der Hersteller die Nutzer ziemlich aus dem Fenster h\u00e4ngen. Linux-Installationen sind in diesem Szenario eher nicht gef\u00e4hrdet, da diese die Windows WPBT-Bin\u00e4rdateien nicht ausf\u00fchren. Wieder ein Fall, der zeigt, dass wir hin zu Open Source Hard- und Software kommen m\u00fcssen, so dass solche Schweinereien wie WPBT ausgebaut werden k\u00f6nnen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ich m\u00f6chte nochmals ein Sicherheitsthema hochsp\u00fclen, welches Nutzer von Windows-Systemen betrifft. Im September wurde bekannt, dass eine Schwachstelle in WPBT es Angreifern erm\u00f6glicht, ein Rootkit auf Windows-Rechnern zu installieren. Der Benutzer kann praktisch nichts dagegen tun und muss auf Microsofts … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301,3694],"tags":[4328,3288],"class_list":["post-258973","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","category-windows-10","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258973","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=258973"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/258973\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=258973"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=258973"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=258973"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}