Daftar blokir driver Microsoft yang sudah ketinggalan zaman membuat Anda terkena serangan malware selama sekitar 3 tahun

Halaman aturan blok driver yang direkomendasikan Microsoft menyatakan bahwa daftar blokir driver "diterapkan ke" perangkat berkemampuan HVCI.
Namun di sini adalah sistem yang mendukung HVCI, dan salah satu driver dalam daftar blokir (WinRing0) dimuat dengan senang hati.
Saya tidak percaya dok.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy

- Will Dormann (@wdormann) September 16, 2022

Microsoft terus-menerus menawarkan produk dan pembaruan keamanan baru yang menjanjikan perlindungan yang lebih baik bagi penggunanya terhadap kemungkinan serangan kejahatan dunia maya. Namun, dalam pergantian peristiwa yang tidak terduga, situs web Technica menemukan wahyu besar, mengatakan PC Windows sebenarnya telah dibiarkan tidak terlindungi selama tiga tahun terakhir dari driver jahat karena kedaluwarsa daftar blokir pengemudi yang rentan dan fitur perlindungan keamanan yang tidak efisien.

Driver adalah file penting dari PC Windows setiap individu untuk bekerja dengan baik dengan perangkat lain, seperti kartu grafis, printer, webcam, dan banyak lagi. Saat dipasang, ini memberi mereka akses ke sistem operasi mesin Anda, membuat tanda-tanda digital di dalamnya penting untuk memastikan mereka aman digunakan. Ini juga memberikan jaminan kepada pelanggan bahwa tidak ada lubang keamanan di dalam driver, yang dapat menyebabkan eksploitasi keamanan pada perangkat Windows yang mungkin dapat memberikan akses aktor jahat ke sistem.

Bagian dari pembaruan Windows adalah menambahkan driver berbahaya tersebut ke daftar blokirnya sendiri untuk mencegah pengguna lain menginstalnya secara tidak sengaja di masa mendatang. Alat lain yang digunakan Microsoft untuk menambahkan lapisan perlindungan untuk menghindarinya adalah dengan menggunakan fitur yang disebut integritas kode yang dilindungi hypervisor (HVCI), juga disebut Integritas Memori, yang memastikan driver yang diinstal aman untuk mencegah pelaku jahat memasukkan kode berbahaya ke dalamnya. sistem pengguna. Baru-baru ini, Microsoft menekankan dalam pos bahwa fitur ini, bersama dengan Platform Mesin Virtual, diaktifkan secara default untuk perlindungan. Perusahaan mencatat bahwa pengguna memiliki opsi untuk menonaktifkannya setelah memverifikasi bahwa mereka memengaruhi kinerja game sistem (meskipun Microsoft juga menyebutkan menyalakannya kembali setelah bermain game). Namun, saran ini ternyata tidak ada gunanya setelah Ars Technica menemukan bahwa fitur HVCI tidak benar-benar memberikan perlindungan penuh yang diharapkan darinya terhadap driver jahat.

Sebelum laporan Ars Technica, pakar kerentanan keamanan Will Dormann di perusahaan keamanan siber Analygence berbagi Hasil tesnya sendiri, menunjukkan isu tersebut sudah diketahui publik sejak September lalu. 

"Halaman aturan blok driver yang direkomendasikan Microsoft menyatakan bahwa daftar blok driver 'diterapkan ke' perangkat yang mendukung HVCI," tweet Dormann. “Namun di sini adalah sistem yang mendukung HVCI, dan salah satu driver dalam daftar blokir (WinRing0) dengan senang hati dimuat. Saya tidak percaya dok.”

Di utas tweet, Dormann juga membagikan bahwa daftar tersebut belum diperbarui sejak 2019, yang berarti pengguna telah tidak terlindungi dari driver bermasalah selama beberapa tahun terakhir meskipun menggunakan HVCI, mengekspos mereka untuk "membawa driver Anda sendiri yang rentan" atau serangan BYOVD .

“Microsoft Attack Surface Reduction (ASR) juga dapat memblokir driver dan daftarnya sinkron dengan daftar blokir driver yang didukung HVCI,” tambah Dormann. "Kecuali ... dalam pengujian saya, itu tidak menghalangi apa pun."

Menariknya, meski isu tersebut sudah diketahui sejak September lalu, Microsoft baru menanganinya melalui project manager Jeffery Sutherland pada Oktober ini.

“Kami telah memperbarui dokumen online dan menambahkan unduhan dengan instruksi untuk menerapkan versi biner secara langsung,” jawab Sutherland pada tweet Dormann. “Kami juga memperbaiki masalah dengan proses servis kami yang mencegah perangkat menerima pembaruan kebijakan.”

Microsoft juga mengakui kekurangan tersebut kepada Ars Technica baru-baru ini melalui perwakilan perusahaan. "Daftar driver yang rentan diperbarui secara berkala, namun kami menerima umpan balik bahwa ada kesenjangan dalam sinkronisasi di seluruh versi OS," kata juru bicara itu kepada situs web. “Kami telah memperbaiki ini dan itu akan diperbaiki di Pembaruan Windows yang akan datang dan yang akan datang. Halaman dokumentasi akan diperbarui saat pembaruan baru dirilis.”

Di sisi lain, sementara Microsoft telah memberikan instruksi tentang cara perbarui secara manual yang rentan driver blocklist, masih belum jelas kapan akan dilakukan secara otomatis oleh Microsoft melalui update.