Especialistas en ciberseguridad reportan la detección de una vulnerabilidad en Windows Platform Binary Table (WPBT) cuya explotación permitiría a los actores de amenazas realizar gran daño en sistemas de Microsoft lanzados a partir de 2012 mediante la instalación de rootkits. Como algunos usuarios recordarán, un rootkit es una herramienta maliciosa empleada para evadir la detección de actividad maliciosa en los sistemas afectados, ocultándose en lo más profundo del sistema y controlando de forma discreta múltiples funciones críticas.
WPBT es una tabla de firmware fijo ACPI incluida en Microsoft a partir del lanzamiento de Windows 8 y que permite a los proveedores ejecutar programas cada vez que se inicia un dispositivo. Además de permitir a los proveedores forzar la instalación de software crítico, este mecanismo también permitiría a los actores de amenazas implementar desarrollos maliciosos sin detección.
En su reporte, Microsoft explica: “Es fundamental que las soluciones basadas en WPBT sean lo más seguras posibles para no exponer a los usuarios a posibles escenarios de explotación. En particular, las soluciones WPBT no deben incluir malware.”
Como se menciona anteriormente, la vulnerabilidad reside en todos los equipos con sistema Windows lanzados desde 2012 y su explotación permitiría el uso de múltiples técnicas para la escritura de tablas ACPI y el uso de bootloaders maliciosos. El compromiso puede realizarse mediante la explotación de la falla conocida como BootHole, que interrumpe el arranque seguro del sistema mediante el uso de periféricos y otros componentes vulnerables.
Los expertos de Eclypsium, encargados del hallazgo, señalan que la falla permitiría a un actor de amenazas ejecutar código malicioso con privilegios del kernel cuando se inicia el dispositivo, además de que señalan que no hay un único vector de ataque: “La explotación es posible mediante acceso físico y remoto gracias a la existencia de múltiples técnicas.”
Al recibir el reporte, Microsoft reconoció la existencia de la falla y recomendó a sus usuarios habilitar la política Windows Defender Application Control con el fin de mitigar el riesgo de explotación mediante el control de binarios ejecutables en el sistema. Cabe mencionar que estas políticas solo se pueden crear en ediciones de cliente de Windows 10 1903 y posteriores y Windows 11 o en Windows Server 2016, por lo que la compañía recomendó a los usuarios de versiones anteriores usar las políticas AppLocker.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.