Microsoftin vanhentuneiden ohjainten estolista altisti sinut haittaohjelmahyökkäyksille noin kolmen vuoden ajan

Microsoftin suosittelema ohjainestojen sääntösivu ilmoittaa, että ajurien estoluetteloa "sovelletaan" HVCI-yhteensopiviin laitteisiin.
Tässä on kuitenkin HVCI-yhteensopiva järjestelmä, ja yksi estoluettelon ajureista (WinRing0) on onneksi ladattu.
En usko dokumentteja.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy

- Will Dormann (@wdormann) Syyskuu 16, 2022

Microsoft tarjoaa jatkuvasti uusia tietoturvatuotteita ja päivityksiä, jotka lupaavat parempaa suojaa käyttäjilleen mahdollisia kyberrikollisia vastaan. Odottamattomassa käänteessä verkkosivusto kuitenkin Ars Technica paljasti valtavan paljastuksen, jonka mukaan Windows-tietokoneet ovat olleet suojaamattomia haitallisilta ohjaimilla vanhentuneen haavoittuvien kuljettajien estolista ja tehottomia suojausominaisuuksia.

Ohjaimet ovat jokaisen Windows-tietokoneen välttämättömiä tiedostoja toimiakseen kunnolla muiden laitteiden, kuten näytönohjainkorttien, tulostimien, verkkokameroiden ja muiden kanssa. Kun se on asennettu, se antaa heille pääsyn koneesi käyttöjärjestelmään, mikä tekee niissä olevista digitaalisista merkeistä tärkeitä niiden turvallisuuden varmistamiseksi. Tämä antaa asiakkaille myös varmuuden siitä, että ohjaimissa ei ole tietoturva-aukkoja, mikä voi aiheuttaa Windows-laitteiden tietoturvan hyväksikäyttöä, mikä saattaa antaa huonoille toimijoille pääsyn järjestelmään.

Osa Windows-päivityksistä lisää haitalliset ohjaimet omaan estoluetteloonsa estääkseen muita käyttäjiä asentamasta niitä vahingossa tulevaisuudessa. Toinen työkalu, jota Microsoft käyttää lisätäkseen suojakerroksen tämän välttämiseksi, on käyttää ominaisuutta nimeltä hypervisor-protected code integrity (HVCI), jota kutsutaan myös Memory Integrityksi. käyttäjän järjestelmä. Äskettäin Microsoft korosti a posti että tämä ominaisuus yhdessä Virtual Machine Platformin kanssa on oletusarvoisesti käytössä suojauksen vuoksi. Yhtiö huomautti, että käyttäjillä on mahdollisuus poistaa se käytöstä tarkistettuaan, että ne vaikuttavat järjestelmän pelin suorituskykyyn (vaikka Microsoft mainitsi myös sen kytkemisen takaisin päälle pelien pelaamisen jälkeen). Nämä ehdotukset osoittautuivat kuitenkin hyödyttömiksi, kun Ars Technica havaitsi, että HVCI-ominaisuus ei itse asiassa tarjoa täyttä suojaa, jota siltä odotetaan haitallisia ohjaimia vastaan.

Ennen Ars Technican raporttia tietoturvahaavoittuvuuksien asiantuntija Will Dormann kyberturvallisuusyhtiö Analygencessa yhteinen oman testin tulos, joka osoittaa, että ongelma on ollut julkisesti tiedossa syyskuusta lähtien. 

"Microsoftin suosittelemien ajurien estosääntöjen sivulla todetaan, että ajurien estoluetteloa "sovelletaan" HVCI-yhteensopiviin laitteisiin", Dormann twiittasi. "Tässä on kuitenkin HVCI-yhteensopiva järjestelmä, ja yksi estoluettelon ajureista (WinRing0) on onneksi ladattu. En usko asiakirjoja."

Tweettien ketjussa Dormann jakoi myös, että luetteloa ei ole päivitetty vuoden 2019 jälkeen, mikä tarkoittaa, että käyttäjät ovat olleet suojaamattomia ongelmallisilta ohjaimilla viime vuosina HVCI:n käytöstä huolimatta, mikä altistaa heidät "tuo oma haavoittuva ajuri" tai BYOVD-hyökkäyksiä. .

"Microsoft Attack Surface Reduction (ASR) voi myös estää ohjaimia, ja luettelot ovat synkronoituja HVCI:n pakotetun ajurien estoluettelon kanssa", Dormann lisäsi. "Paitsi… minun testauksessani se ei estä mitään."

Mielenkiintoista on, että vaikka ongelma on ollut tiedossa syyskuusta lähtien, Microsoft käsitteli sitä vasta projektipäällikön Jeffery Sutherlandin kautta lokakuussa.

"Olemme päivittäneet online-asiakirjat ja lisänneet latauksen, joka sisältää ohjeet binääriversion käyttöönottamiseksi suoraan", Sutherland vastasi Dormannin twiittiin. "Korjaamme myös huoltoprosessimme ongelmat, jotka ovat estäneet laitteita saamasta päivityksiä käytäntöön."

Microsoft myönsi virheen myös Ars Technicalle äskettäin yrityksen edustajan kautta. "Haavoittuvien kuljettajien luetteloa päivitetään säännöllisesti, mutta saimme palautetta, että käyttöjärjestelmäversioiden synkronoinnissa on ollut aukkoja", tiedottaja kertoi verkkosivustolle. "Olemme korjanneet tämän ja sitä huolletaan tulevissa ja tulevissa Windows-päivityksissä. Dokumentaatiosivua päivitetään sitä mukaa, kun uusia päivityksiä julkaistaan."

Toisaalta, vaikka Microsoft on jo toimittanut ohjeet kuinka päivittää manuaalisesti haavoittuvien ajurien estoluettelosta, on edelleen epäselvää, milloin Microsoft tekee sen automaattisesti päivitysten kautta.