A Microsoft elavult illesztőprogramok tiltólistája körülbelül 3 évig tette ki Önt rosszindulatú támadásoknak

A Microsoft által javasolt illesztőprogram-blokkolási szabályok oldala azt írja ki, hogy az illesztőprogram-blokkolók listája "alkalmazott" a HVCI-kompatibilis eszközökre.
Mégis itt van egy HVCI-képes rendszer, és a blokklistán szereplő egyik illesztőprogram (WinRing0) boldogan betöltődik.
Nem hiszek a dokiknak.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy

- Will Dormann (@wdormann) 16. szeptember 2022.

A Microsoft folyamatosan új biztonsági termékeket és frissítéseket kínál, amelyek jobb védelmet ígérnek felhasználóinak az esetleges kiberbűnözők támadásaival szemben. Egy váratlan fordulatban azonban a honlap Ars Technica hatalmas leleplezésre derült fény, miszerint a Windows PC-k az elmúlt három évben védelem nélkül maradtak a rosszindulatú illesztőprogramokkal szemben egy elavult eszköz miatt. sebezhető illesztőprogramok tiltólistája és nem hatékony biztonsági védelmi funkciók.

Az illesztőprogramok minden egyén Windows PC-jén elengedhetetlen fájlok ahhoz, hogy megfelelően működjenek más eszközökkel, például grafikus kártyákkal, nyomtatókkal, webkamerákkal stb. Telepítéskor ez hozzáférést biztosít számukra a gép operációs rendszeréhez, így a bennük lévő digitális jelek fontosak a biztonságos használat érdekében. Ez arra is biztosítékot ad az ügyfeleknek, hogy nincsenek biztonsági lyukak az illesztőprogramokban, ami biztonsági kizsákmányolást okozhat a Windows-eszközökön, ami esetleg rossz szereplők hozzáférését eredményezheti a rendszerhez.

A Windows-frissítések egy része felveszi ezeket a rosszindulatú illesztőprogramokat a saját tiltólistájába, hogy megakadályozza, hogy más felhasználók véletlenül telepítsék őket a jövőben. Egy másik eszköz, amelyet a Microsoft védelmi réteg hozzáadására használ ennek elkerülésére, a hypervisor-protected code integrity (HVCI) nevű funkció, más néven memóriaintegritás, amely biztosítja, hogy a telepített illesztőprogramok biztonságosak legyenek, és megakadályozzák, hogy rosszindulatú szereplők rosszindulatú kódokat helyezzenek el. egy felhasználói rendszer. Nemrég a Microsoft hangsúlyozta a Hozzászólás hogy ez a funkció a Virtual Machine Platform-mal együtt alapértelmezés szerint engedélyezve van a védelem érdekében. A vállalat megjegyezte, hogy a felhasználóknak lehetőségük van letiltani, miután ellenőrizték, hogy hatással vannak-e a rendszer játékteljesítményére (bár a Microsoft azt is megemlítette, hogy játék után vissza kell kapcsolni). Ezek a javaslatok azonban értelmetlennek bizonyultak, miután az Ars Technica felfedezte, hogy a HVCI funkció valójában nem nyújtja a tőle elvárható teljes védelmet a rosszindulatú illesztőprogramokkal szemben.

Az Ars Technica jelentése előtt Will Dormann, az Analygence kiberbiztonsági vállalat biztonsági sebezhetőségi szakértője megosztott saját tesztjének eredménye, amely azt mutatja, hogy a probléma szeptember óta ismert. 

„A Microsoft által javasolt illesztőprogram-blokkolási szabályok oldala azt írja, hogy az illesztőprogram-blokkolók listája a HVCI-kompatibilis eszközökre vonatkozik” – írta Dormann a Twitteren. „Mégis itt van egy HVCI-képes rendszer, és a blokklistán szereplő egyik illesztőprogram (WinRing0) boldogan betöltődik. Nem hiszek a dokiknak."

A tweetekben Dormann azt is megosztotta, hogy a listát 2019 óta nem frissítették, ami azt jelenti, hogy a felhasználók az elmúlt években a HVCI használata ellenére védtelenek voltak a problémás illesztőprogramokkal szemben, ami „hozza a saját sebezhető illesztőprogramját” vagy BYOVD támadásoknak tette ki őket. .

„A Microsoft Attack Surface Reduction (ASR) is képes blokkolni az illesztőprogramokat, és a listák szinkronban vannak a HVCI által kikényszerített illesztőprogram-blokkoló listával” – tette hozzá Dormann. – Kivéve… a tesztelésem során ez semmit nem blokkol.

Érdekesség, hogy bár a probléma szeptember óta ismert, a Microsoft csak idén októberben foglalkozott vele Jeffery Sutherland projektmenedzseren keresztül.

„Frissítettük az online dokumentumokat, és hozzáadtunk egy letöltést a bináris verzió közvetlen alkalmazásához” – válaszolta Sutherland Dormann tweetére. „A szervizfolyamattal kapcsolatos problémákat is kijavítjuk, amelyek megakadályozták, hogy az eszközök megkapják a szabályzat frissítéseit.”

A Microsoft nemrég a cég képviselőjén keresztül is elismerte a hibát az Ars Technicának. "A sebezhető illesztőprogramok listáját rendszeresen frissítik, de visszajelzést kaptunk arról, hogy hiányosságok vannak az operációs rendszer verziói közötti szinkronizálásban" - mondta a szóvivő a webhelynek. „Ezt kijavítottuk, és a közelgő és jövőbeli Windows-frissítések során szervizelni fogjuk. A dokumentációs oldal az új frissítések megjelenésével frissül."

Másrészt, míg a Microsoft már adott utasításokat, hogyan kell manuális frissítés A sebezhető illesztőprogramok blokklistáján még mindig nem tudni, hogy a Microsoft mikor fogja ezt megtenni automatikusan a frissítéseken keresztül.