idNSA.id - Peneliti mengungkapkan kelemahan yang belum diperbaiki di
Microsoft Windows Platform Binary Table (WPBT) yang memengaruhi semua
perangkat berbasis Windows sejak Windows 8 yang berpotensi dieksploitasi
untuk menginstal rootkit dan membahayakan integritas perangkat.
"Kekurangan ini membuat setiap sistem Windows rentan terhadap serangan dengan mudah-crafted akan menginstal penipuan tabel khusus vendor," peneliti dari Eclypsium menyampaikan dalam sebuah laporan yang diterbitkan pada hari Senin. "Tabel-tabel ini dapat dieksploitasi oleh penyerang dengan akses fisik langsung, sekaligus akses jarak jauh, atau melalui rantai pasokan pabrik. Lebih penting lagi, kelemahan tingkat motherboard ini dapat meniadakan Secured-core karena penggunaan ACPI [Advanced Configuration and Power Interface] dan WPBT."
WPBT, diperkenalkan dengan Windows 8 pada tahun 2012, adalah fitur yang memungkinkan "boot firmware untuk menyediakan Windows dengan platform biner yang dapat dijalankan oleh sistem operasi."
Dengan kata lain, hal ini memungkinkan produsen PC untuk menunjuk ke executable portabel yang ditandatangani atau driver khusus vendor lainnya yang datang sebagai bagian dari gambar ROM firmware UEFI sedemikian rupa sehingga dapat dimuat ke dalam memori fisik selama inisialisasi Windows dan sebelum menjalankan apa pun dalam kode sistem operasi.
Tujuan utama WPBT adalah untuk menjalankan fitur penting seperti perangkat lunak anti-pencurian, tetapi ada sebuah kondisi di mana sistem operasi telah dimodifikasi, diformat, atau diinstal ulang yang menyebabkan tidak berjalan. Tetapi mengingat kemampuan fungsionalitas untuk membuat perangkat lunak semacam itu "terpasang pada perangkat tanpa batas waktu," Microsoft telah memperingatkan potensi risiko keamanan yang dapat timbul dari penyalahgunaan WPBT, termasuk kemungkinan menyebarkan rootkit pada mesin Windows.
"Karena fitur ini menyediakan kemampuan untuk terus-menerus menjalankan perangkat lunak sistem Windows, menjadi penting bahwa solusi berbasis WPBT seaman mungkin dan tidak mengekspos pengguna Windows ke kondisi yang dapat dieksploitasi," catatan perusahaan Windows dalam dokumentasinya. "Secara khusus, solusi WPBT tidak boleh menyertakan malware (yaitu, perangkat lunak berbahaya atau perangkat lunak yang tidak diinginkan yang diinstal tanpa persetujuan pengguna yang memadai)."
Kerentanan yang ditemukan oleh perusahaan keamanan firmware, perusahaan ini menyatakan bahwa mekanisme WPBT dapat menerima biner yang ditandatangani dengan sertifikat yang dicabut atau kedaluwarsa untuk sepenuhnya melewati pemeriksaan integritas, sehingga memungkinkan penyerang untuk menandatangani biner berbahaya dengan yang sudah tersedia sertifikat kedaluwarsa dan menjalankan kode arbitrer dengan hak istimewa kernel saat perangkat melakukan booting.
Menanggapi temuan tersebut, Microsoft telah merekomendasikan penggunaan kebijakan Windows Defender Application Control (WDAC) untuk secara ketat membatasi binari apa saja yang diizinkan untuk berjalan di perangkat.
"Kelemahan ini berpotensi dieksploitasi melalui banyak faktor (misalnya, akses fisik, jarak jauh, dan distributor produsen) dengan berbagai teknik (misalnya, bootloader berbahaya, DMA, dll)," kata para peneliti. "Organisasi perlu mempertimbangkan faktor-faktor ini, dan menggunakan pendekatan bertahap terhadap keamanan untuk memastikan bahwa semua perbaikan yang tersedia dan diterapkan melalui mengidentifikasi potensi kejahatan apa pun pada perangkat."
