Vulnérabilité dans WPBT de Microsoft Windows

Une vulnérabilité a été découverte dans WPBT (Microsoft Windows Platform Binary) de Microsoft Windows. Elle concerne tous les appareils utilisant le système d’exploitation depuis l’apparition de Windows 8.

Introduit en 2012 avec Windows 8, WPBT est un ACPI (Advanced Configuration and Power Interface) qui permet aux manufacturiers OEM (Original Equipent Manufacturers) de créer une interface managée entre le système d’exploitation Windows et les composants hardwares du système physique.

Le problème réside au niveau du mécanisme fondamental de WPBT qui peut accepter un fichier binaire signé avec une signature de certificat expiré ou révoqué. Un attaquant peut sans difficulté installer un programme malveillant du type rootkit : si ce dernier est signé par un certificat expiré, il sera accepté. Ce programme hostile étant actif au démarrage de l’ordinateur, il peut agir avant le lancement du système d’exploitation. Il peut alors contourner la sécurité de chiffrement du disque Bitlocker, mais aussi contourner les éléments de sécurité de Secured-Core.

Un rootkit est un programme dangereux, agissant furtivement et configuré pour demeurer persistant le plus longtemps possible. Son but est d’offrir à l’attaquant l’accès et le contrôle de l’ordinateur de la victime.

L’attaquant peut effectuer l’action malveillante physiquement sur l’ordinateur, à distance, ou même via la chaîne des constructeurs tel que Dell, Lenovo, ASUS et tous les autres.

L’application WDAC (Windows Defender Application Control) peut être configurée pour révoquer des permissions concernant les fichiers binaires dans WPBT.

Il n’existe pas de solution de contournement.

 

Informations
+

Risques

  • Compromission système
  • Exécution de code arbitraire

Criticité

NA

CVE

NA

Composants vulnérables

  • Tous les appareils utilisant le système d’exploitation depuis la sortie de Windows 8.

Recommandations
+
  • Configurer les révocations des permissions des fichiers binaires via WDAC (Windows Defender Application Control).