Onderzoekers van Eclypsium hebben ontdekt dat Windows kampt met een beveiligingsprobleem, dat het toelaat om op afstand, met fysieke toegang en via andere apparaten in het netwerk code uit te voeren. Het is aanwezig op elke Windows-versie sinds Windows 8.
Om precies te zijn zit het probleem in de Windows Platform Binary Table (wpbt). Het maakt het mogelijk om rootkits ongezien door de beveiliging van Windows Defender te laten komen. Wpbt wordt door pc-fabrikanten gebruikt om systeemspecifieke drivers en applicaties te installeren, en is al sinds Windows 8 geïntegreerd in het besturingssysteem. Microsoft is zich er bewust van dat dit mechanisme het os kwetsbaarder maakt. Volgens Microsofts documentatie moet de apparaatgebruiker instemmen met de aanwezigheid van de software om het risico te beperken.
Deze binary tables kunnen worden misbruikt door aanvallers met fysieke toegang, toegang op afstand en toegang tot andere apparaten in het netwerk van de gastheer. Het wpbt accepteert namelijk tabellen met een verlopen of ingetrokken beveiligingscertificaat, waardoor de beveiligingscheck door Windows Defender kan worden omzeild.
Microsoft raadt systeembouwers aan om het Windows Defender Application Control-beleid (wdac) strakker aan te houden, om zo de mogelijkheden van binary tables waar nodig in te perken.
Bron: Eclypsium
