Η απαρχαιωμένη λίστα αποκλεισμού προγραμμάτων οδήγησης της Microsoft σας εξέθεσε σε επιθέσεις κακόβουλου λογισμικού για περίπου 3 χρόνια

Η σελίδα κανόνων μπλοκ συνιστώμενων προγραμμάτων οδήγησης της Microsoft αναφέρει ότι η λίστα μπλοκ προγραμμάτων οδήγησης "εφαρμόζεται σε" συσκευές με δυνατότητα HVCI.
Ωστόσο, εδώ υπάρχει ένα σύστημα με δυνατότητα HVCI και ένα από τα προγράμματα οδήγησης στη λίστα μπλοκ (WinRing0) φορτώνεται ατυχώς.
Δεν πιστεύω στα έγγραφα.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy

- Γουίλ Ντόρμαν (@wdormann) Σεπτέμβριος 16, 2022

Η Microsoft προσφέρει συνεχώς νέα προϊόντα ασφαλείας και ενημερώσεις που υπόσχονται καλύτερη προστασία για τους χρήστες της από πιθανές επιθέσεις στον κυβερνοχώρο. Ωστόσο, σε μια απροσδόκητη τροπή των γεγονότων, η ιστοσελίδα Ars Technica αποκάλυψε μια τεράστια αποκάλυψη, λέγοντας ότι οι υπολογιστές με Windows έχουν αφεθεί στην πραγματικότητα απροστάτευτοι τα τελευταία τρία χρόνια από κακόβουλα προγράμματα οδήγησης λόγω ενός παλιού λίστα αποκλεισμού ευάλωτων προγραμμάτων οδήγησης και αναποτελεσματικά χαρακτηριστικά προστασίας ασφάλειας.

Τα προγράμματα οδήγησης είναι απαραίτητα αρχεία του υπολογιστή Windows κάθε ατόμου για να λειτουργούν σωστά με άλλες συσκευές, όπως κάρτες γραφικών, εκτυπωτές, κάμερες web και άλλα. Όταν εγκατασταθεί, αυτό τους δίνει πρόσβαση στο λειτουργικό σύστημα του μηχανήματος σας, καθιστώντας τα ψηφιακά σήματα σε αυτά σημαντικά για να διασφαλιστεί ότι είναι ασφαλή στη χρήση τους. Αυτό παρέχει επίσης στους πελάτες τη διαβεβαίωση ότι δεν υπάρχουν τρύπες ασφαλείας στα προγράμματα οδήγησης, γεγονός που μπορεί να προκαλέσει εκμετάλλευση της ασφάλειας σε συσκευές Windows που θα μπορούσαν ενδεχομένως να δώσουν πρόσβαση σε κακούς ηθοποιούς στο σύστημα.

Μέρος των ενημερώσεων των Windows προσθέτει αυτά τα κακόβουλα προγράμματα οδήγησης στη δική του λίστα αποκλεισμού για να εμποδίσει άλλους χρήστες να τα εγκαταστήσουν κατά λάθος στο μέλλον. Ένα άλλο εργαλείο που χρησιμοποιεί η Microsoft για να προσθέσει ένα επίπεδο προστασίας για να το αποφύγει αυτό είναι η χρήση μιας δυνατότητας που ονομάζεται ακεραιότητα κώδικα που προστατεύεται από hypervisor (HVCI), που ονομάζεται επίσης ακεραιότητα μνήμης, η οποία διασφαλίζει ότι τα εγκατεστημένα προγράμματα οδήγησης είναι ασφαλή για την αποτροπή κακών παραγόντων από την τοποθέτηση κακόβουλων κωδικών σε σύστημα ενός χρήστη. Πρόσφατα, η Microsoft τόνισε σε α θέση ότι αυτή η δυνατότητα, μαζί με την πλατφόρμα εικονικής μηχανής, είναι ενεργοποιημένη από προεπιλογή για προστασία. Η εταιρεία σημείωσε ότι οι χρήστες έχουν την επιλογή να το απενεργοποιήσουν αφού επαληθεύσουν ότι επηρεάζουν την απόδοση του παιχνιδιού του συστήματος (αν και η Microsoft ανέφερε επίσης την επανενεργοποίηση του μετά την αναπαραγωγή παιχνιδιών). Ωστόσο, αυτές οι προτάσεις αποδείχθηκαν άσκοπες αφού η Ars Technica ανακάλυψε ότι η δυνατότητα HVCI δεν παρέχει στην πραγματικότητα την πλήρη προστασία που αναμένεται από αυτήν έναντι κακόβουλων προγραμμάτων οδήγησης.

Πριν από την έκθεση της Ars Technica, ο ειδικός σε θέματα ευπάθειας ασφαλείας Will Dormann στην εταιρεία κυβερνοασφάλειας Analygence Shared το αποτέλεσμα της δικής του δοκιμής, που δείχνει ότι το θέμα είναι δημοσίως γνωστό από τον Σεπτέμβριο. 

«Η σελίδα κανόνων αποκλεισμού προγραμμάτων οδήγησης που προτείνει η Microsoft αναφέρει ότι η λίστα μπλοκ προγραμμάτων οδήγησης «εφαρμόζεται σε» συσκευές με δυνατότητα HVCI», έγραψε ο Dormann στο Twitter. Ωστόσο, εδώ υπάρχει ένα σύστημα με δυνατότητα HVCI και ένα από τα προγράμματα οδήγησης στη λίστα μπλοκ (WinRing0) φορτώνεται ευτυχώς. Δεν πιστεύω στα έγγραφα».

Στο νήμα των tweets, ο Dormann μοιράστηκε επίσης ότι η λίστα δεν έχει ενημερωθεί από το 2019, πράγμα που σημαίνει ότι οι χρήστες ήταν απροστάτευτοι από προβληματικούς οδηγούς τα τελευταία χρόνια παρά τη χρήση HVCI, εκθέτοντας τους να «φέρουν το δικό σας ευάλωτο πρόγραμμα οδήγησης» ή επιθέσεις BYOVD .

"Το Microsoft Attack Surface Reduction (ASR) μπορεί επίσης να αποκλείσει προγράμματα οδήγησης και οι λίστες είναι σε συγχρονισμό με τη λίστα μπλοκ προγραμμάτων οδήγησης που επιβάλλεται από HVCI", πρόσθεσε ο Dormann. "Εκτός από... στις δοκιμές μου δεν μπλοκάρει τίποτα."

Είναι ενδιαφέρον ότι, αν και το ζήτημα είναι γνωστό από τον Σεπτέμβριο, η Microsoft το αντιμετώπισε μόνο μέσω του project manager Jeffery Sutherland αυτόν τον Οκτώβριο.

«Ενημερώσαμε τα διαδικτυακά έγγραφα και προσθέσαμε μια λήψη με οδηγίες για την απευθείας εφαρμογή της δυαδικής έκδοσης», απάντησε ο Σάδερλαντ στο tweet του Dormann. "Επίσης, επιδιορθώνουμε τα προβλήματα με τη διαδικασία σέρβις μας, τα οποία εμπόδισαν τις συσκευές να λαμβάνουν ενημερώσεις στην πολιτική."

Η Microsoft παραδέχτηκε επίσης το ελάττωμα στην Ars Technica πρόσφατα μέσω αντιπροσώπου της εταιρείας. «Η λίστα ευάλωτων προγραμμάτων οδήγησης ενημερώνεται τακτικά, ωστόσο λάβαμε σχόλια ότι υπήρξε ένα κενό στον συγχρονισμό μεταξύ των εκδόσεων του λειτουργικού συστήματος», είπε ο εκπρόσωπος στον ιστότοπο. «Το έχουμε διορθώσει και θα εξυπηρετηθεί σε επερχόμενες και μελλοντικές ενημερώσεις των Windows. Η σελίδα τεκμηρίωσης θα ενημερωθεί καθώς κυκλοφορούν νέες ενημερώσεις."

Από την άλλη, ενώ η Microsoft έχει ήδη δώσει οδηγίες για το πώς να μη αυτόματη ενημέρωση τη λίστα αποκλεισμού ευάλωτων προγραμμάτων οδήγησης, δεν είναι ακόμα σαφές πότε θα γίνει αυτόματα από τη Microsoft μέσω ενημερώσεων.