Microsofts veraltete Treiberblockierliste hat Sie etwa 3 Jahre lang Malware-Angriffen ausgesetzt

Auf der von Microsoft empfohlenen Seite mit den Sperrregeln für Treiber wird angegeben, dass die Treibersperrliste auf HVCI-fähige Geräte „angewendet“ wird.
Doch hier ist ein HVCI-fähiges System, und einer der Treiber in der Sperrliste (WinRing0) wird glücklich geladen.
Ich glaube den Dokumenten nicht.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy

- Will Dormann (@wdormann) 16. September 2022

Microsoft bietet ständig neue Sicherheitsprodukte und Updates an, die seinen Benutzern einen besseren Schutz vor möglichen cyberkriminellen Angriffen versprechen. Doch in einer unerwarteten Wendung der Ereignisse, die Website Ars Technica enthüllte eine große Offenbarung, die besagt, dass Windows-PCs in den letzten drei Jahren aufgrund eines veralteten Treibers tatsächlich ungeschützt vor bösartigen Treibern gelassen wurden Sperrliste für anfällige Treiber und ineffiziente Sicherheitsschutzfunktionen.

Treiber sind wichtige Dateien auf dem Windows-PC jedes Einzelnen, um ordnungsgemäß mit anderen Geräten wie Grafikkarten, Druckern, Webcams und mehr zu funktionieren. Wenn sie installiert sind, erhalten sie Zugriff auf das Betriebssystem Ihres Geräts, wodurch die darin enthaltenen digitalen Zeichen wichtig sind, um sicherzustellen, dass sie sicher verwendet werden können. Dies gibt den Kunden auch die Gewissheit, dass keine Sicherheitslücken in den Treibern vorhanden sind, die zu einer Sicherheitsausnutzung auf Windows-Geräten führen können, die möglicherweise Angreifern Zugriff auf das System verschaffen könnten.

Ein Teil der Windows-Updates besteht darin, diese bösartigen Treiber zu seiner eigenen Sperrliste hinzuzufügen, um zu verhindern, dass andere Benutzer sie in Zukunft versehentlich installieren. Ein weiteres Tool, das Microsoft verwendet, um eine Schutzebene hinzuzufügen, um dies zu vermeiden, ist die Verwendung einer Funktion namens Hypervisor-Protected Code Integrity (HVCI), auch Memory Integrity genannt, die sicherstellt, dass die installierten Treiber sicher sind, um zu verhindern, dass böswillige Akteure schädliche Codes einfügen das System eines Benutzers. Kürzlich betonte Microsoft in a Post dass diese Funktion zusammen mit der Virtual Machine Platform standardmäßig zum Schutz aktiviert ist. Das Unternehmen stellte fest, dass Benutzer die Möglichkeit haben, es zu deaktivieren, nachdem sie überprüft haben, ob sie die Spielleistung des Systems beeinträchtigen (obwohl Microsoft auch erwähnte, es nach dem Spielen wieder einzuschalten). Diese Vorschläge stellten sich jedoch als sinnlos heraus, nachdem Ars Technica festgestellt hatte, dass die HVCI-Funktion nicht den vollen Schutz bietet, den sie vor schädlichen Treibern erwartet.

Vor dem Bericht von Ars Technica der Experte für Sicherheitslücken Will Dormann vom Cybersicherheitsunternehmen Analygence von Locals geführtes Das Ergebnis eines eigenen Tests, der das Problem zeigt, ist seit September öffentlich bekannt. 

„Die von Microsoft empfohlene Seite mit Regeln zum Sperren von Treibern besagt, dass die Treibersperrliste auf HVCI-fähige Geräte ‚angewendet‘ wird“, twitterte Dormann. „Doch hier ist ein HVCI-fähiges System, und einer der Treiber in der Sperrliste (WinRing0) ist glücklich geladen. Ich glaube den Dokumenten nicht.“

Im Tweet-Thread teilte Dormann auch mit, dass die Liste seit 2019 nicht mehr aktualisiert wurde, was bedeutet, dass Benutzer in den letzten Jahren trotz der Verwendung von HVCI ungeschützt vor problematischen Treibern waren und sie „Bring your own vulnerable driver“ oder BYOVD-Angriffen ausgesetzt waren .

„Microsoft Attack Surface Reduction (ASR) kann auch Treiber blockieren, und die Listen sind mit der HVCI-erzwungenen Treiberblockierungsliste synchronisiert“, fügte Dormann hinzu. "Außer ... in meinen Tests blockiert es nichts."

Interessanterweise ist das Problem zwar seit September bekannt, Microsoft hat es jedoch erst im Oktober dieses Jahres über Projektmanager Jeffery Sutherland angesprochen.

„Wir haben die Online-Dokumentation aktualisiert und einen Download mit Anweisungen hinzugefügt, um die Binärversion direkt anzuwenden“, antwortete Sutherland auf Dormanns Tweet. „Wir beheben auch die Probleme mit unserem Wartungsprozess, der Geräte daran gehindert hat, Aktualisierungen der Richtlinie zu erhalten.“

Microsoft hat den Fehler kürzlich auch gegenüber Ars Technica durch einen Unternehmensvertreter eingeräumt. „Die Liste der anfälligen Treiber wird regelmäßig aktualisiert, wir haben jedoch Rückmeldungen erhalten, dass es eine Lücke bei der Synchronisierung zwischen den Betriebssystemversionen gegeben hat“, sagte der Sprecher der Website. „Wir haben dies korrigiert und es wird in kommenden und zukünftigen Windows-Updates gewartet. Die Dokumentationsseite wird aktualisiert, sobald neue Updates veröffentlicht werden.“

Auf der anderen Seite hat Microsoft zwar bereits Anleitungen zur Verfügung gestellt, wie es geht manuell aktualisieren die anfällige Treiber-Blocklist, es ist noch unklar, wann sie automatisch von Microsoft durch Updates durchgeführt wird.