Oggi ci troviamo a parlare di un gruppo di vulnerabilità, poco note ma dal potenziale devastante, che stanno diventando sempre più di moda: “gli attacchi al firmware”. La classe di rischio è coperta da una new entry nella top 10 OWASP ancora in fase di revisione: “A08:2021 – Software and Data Integrity Failures”, ossia il fallimento nella verifica dell’integrità di dati e programmi. 

I maggiori enti di sicurezza hanno notato un incremento del 100% delle vulnerabilità mirate alla compromissione del firmware; si passa da un 33% del totale delle vulnerabilità considerate critiche, al 66% nel passaggio tra il 2020 e 2021. 

In particolare, volevamo rivolgere l’attenzione ad una vulnerabilità di recente rivelazione, riguardante lo sfruttamento di un componente windows, per ottenere un buon punto di permanenza. 

Eclypiusm ha scoperto che la grossa falla nel componente WPBT incluso in qualsiasi versione di windows distribuite dal 2012 in poi. 

Cos’è WPBT 

La crescente consapevolezza energetica e l’incidenza che una rete sempre crescente di computer ha sulle riserve energetiche nazionali, hanno spinto allo sviluppo di un sistema avanzato della gestione dell’energia chiamato ACPI. Con l’avvento di Windows 8 questo protocollo include anche una tabella chiamata “Windows Platform Binary Table” che racchiude personalizzazioni dei singoli vendor o aziende, includendole nel processo di boot a livello del firmware. Questo serve a far eseguire programmi, come i driver, durante il processo di boot della macchina senza intervenire direttamente sull’immagine del sistema operativo, in modo da sopravvivere ad un re-imaging e anche alla formattazione della macchina, diventando il miglior punto di permanenza che un attaccante possa desiderare. 

Nella ricerca Eclypsium è riuscita ad eseguire codice arbitrario “nell’anello zero” (in kernel mode), cioè con privilegi massimi. Il problema nasce dalla possibilità dell’attaccante di poter firmare il proprio codice con certificati scaduti o revocati dato che non esiste nessun meccanismo di controllo verso un’autorità certificante verificata. 

La vulnerabilità può essere distribuita in più modi: sia con accesso locale alla macchina, da remoto o intervenendo sulla catena di distribuzione del firmware. Esistono svariati tipi di tecnica, fra cui un Malicius Bootloader oppure Direct Memory Access. Possono sembrare eventualità remote ma le aziende dovrebbero correre ai ripari, anche se la minaccia sembra non essere di così facile accesso. Microsoft consiglia, in attesa di una patch definitiva, di utilizzare delle policy che prevendano l'esecuzione dello stretto codice necessario al funzionamento durante la fase di bootstrap della macchina. 

Alex Ionescu è stato il primo a prevedere la possibile problematica legata a WPBT già nel 2012 riportiamo anche il suo tweet:  

La falla può essere sfruttata remotamente, ad esempio utilizzando BootHole, una vulnerabilità di tipo buffer overflow, riguardante il metodo di parsing delle configurazioni di grub 2, oppure tramite la compromissione della catena di distribuzione degli aggiornamenti del bios come è capitato con Dell.  

Un modo per sondare il terreno è utilizzare Trickbot, il malware è in grado di rilevare un possibile firmware vulnerabile, facilitando la scelta della vittima 

Questi sono solo alcuni dei vettori di consegna. 

Vi lasciamo un video d’esempio di sfruttamento della vulnerabilità. 

Tweet