Zastaralý seznam blokovaných ovladačů společnosti Microsoft vás vystavil útokům malwaru po dobu přibližně 3 let

Stránka s pravidly blokování ovladačů doporučená společností Microsoft uvádí, že seznam blokovaných ovladačů „se vztahuje na“ zařízení s podporou HVCI.
Přesto je zde systém s podporou HVCI a jeden z ovladačů v seznamu blokovaných (WinRing0) je šťastně načten.
Nevěřím dokumentům.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy

- Will Dormann (@wdormann) Září 16, 2022

Microsoft neustále nabízí nové bezpečnostní produkty a aktualizace slibující lepší ochranu svých uživatelů před možnými útoky kyberzločinců. Nicméně, v nečekaném obratu událostí, webové stránky Ars Technica odhalil obrovské odhalení, že počítače s Windows byly poslední tři roky ponechány nechráněné před škodlivými ovladači kvůli zastaralým seznam blokovaných zranitelných ovladačů a neefektivní funkce zabezpečení.

Ovladače jsou základními soubory počítače se systémem Windows každého jednotlivce, aby správně fungovaly s jinými zařízeními, jako jsou grafické karty, tiskárny, webové kamery a další. Po instalaci jim to umožní přístup k operačnímu systému vašeho počítače, takže digitální značky v nich jsou důležité pro zajištění bezpečného použití. To také dává zákazníkům jistotu, že v ovladačích nejsou přítomny žádné bezpečnostní díry, které mohou způsobit zneužití zabezpečení na zařízeních Windows, které by mohlo umožnit přístup k systému špatným aktérům.

Součástí aktualizací systému Windows je přidání těchto škodlivých ovladačů do vlastního seznamu blokovaných ovladačů, aby je ostatní uživatelé v budoucnu náhodně nenainstalovali. Dalším nástrojem, který Microsoft používá k přidání vrstvy ochrany, aby se tomu zabránilo, je použití funkce nazývané integrita kódu chráněného hypervizorem (HVCI), také nazývaná Integrita paměti, která zajišťuje, že nainstalované ovladače jsou bezpečné a brání špatným aktérům vkládat do nich škodlivé kódy. systém uživatele. Microsoft nedávno zdůraznil v a zveřejnit že tato funkce je společně s platformou virtuálních strojů standardně povolena pro ochranu. Společnost poznamenala, že uživatelé mají možnost jej zakázat poté, co ověří, že ovlivňují herní výkon systému (ačkoli Microsoft také zmínil jeho opětovné zapnutí po hraní her). Tyto návrhy se však ukázaly jako zbytečné poté, co Ars Technica zjistila, že funkce HVCI ve skutečnosti neposkytuje plnou ochranu, která se od ní očekává, před škodlivými ovladači.

Před zprávou Ars Technica expert na bezpečnostní zranitelnost Will Dormann ze společnosti Analygence zabývající se kybernetickou bezpečností sdílené výsledek jeho vlastního testu, ukazující problém, je veřejně znám od září. 

„Na stránce s pravidly blokování ovladačů doporučenými společností Microsoft se uvádí, že seznam blokovaných ovladačů se ‚používá‘ na zařízení s podporou HVCI,“ napsal Dormann na Twitteru. „Přesto je zde systém s podporou HVCI a jeden z ovladačů v seznamu blokovaných (WinRing0) je šťastně načten. Nevěřím dokumentům."

Ve vlákně tweetů Dormann také sdílel, že seznam nebyl aktualizován od roku 2019, což znamená, že uživatelé nebyli v posledních letech chráněni před problematickými ovladači, přestože používali HVCI, což je vystavilo „přineste si svůj vlastní zranitelný ovladač“ nebo útokům BYOVD. .

„Microsoft Attack Surface Reduction (ASR) může také blokovat ovladače a seznamy jsou synchronizovány se seznamem blokovaných ovladačů vynuceným HVCI,“ dodal Dormann. "Kromě... při mém testování to nic neblokuje."

Zajímavé je, že ačkoliv se o problému ví už od září, Microsoft ho řešil prostřednictvím projektového manažera Jefferyho Sutherlanda až letos v říjnu.

"Aktualizovali jsme online dokumenty a přidali jsme soubor ke stažení s pokyny k přímému použití binární verze," odpověděl Sutherland na Dormannův tweet. „Také řešíme problémy s naším servisním procesem, který bránil zařízením v přijímání aktualizací zásad.“

Microsoft také nedávno prostřednictvím zástupce společnosti přiznal chybu společnosti Ars Technica. "Seznam zranitelných ovladačů je pravidelně aktualizován, nicméně jsme obdrželi zpětnou vazbu, že mezi verzemi OS existuje mezera v synchronizaci," řekl mluvčí webu. „Toto jsme opravili a bude to opraveno v nadcházejících a budoucích aktualizacích systému Windows. Stránka dokumentace bude aktualizována, jakmile budou vydány nové aktualizace.“

Na druhou stranu, zatímco Microsoft již poskytl návod, jak na to ručně aktualizovat seznamu zranitelných ovladačů, stále není jasné, kdy to automaticky provede Microsoft prostřednictvím aktualizací.