רשימת חסימת הדרייברים המיושנת של מיקרוסופט חשפה אותך להתקפות תוכנות זדוניות במשך כ-3 שנים

דף חוקי חסימת מנהלי ההתקן המומלצים של מיקרוסופט מציין שרשימת חסימת מנהלי ההתקן "מוחלת על" התקנים התומכים ב-HVCI.
עם זאת, הנה מערכת התומכת ב-HVCI, ואחד הדרייברים ברשימת החסימות (WinRing0) נטען בשמחה.
אני לא מאמין למסמכים.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy

- וויל דורמן (@wdormann) ספטמבר 16, 2022

מיקרוסופט מציעה כל הזמן מוצרי אבטחה ועדכונים חדשים המבטיחים הגנה טובה יותר למשתמשים שלה מפני התקפות פושעי סייבר אפשריות. עם זאת, בתפנית בלתי צפויה של אירועים, האתר Ars Technica חשף גילוי ענק, ואמר כי מחשבי Windows נותרו למעשה בלתי מוגנים בשלוש השנים האחרונות מפני מנהלי התקנים זדוניים עקב מיושן רשימת חסימת נהגים פגיעים ותכונות הגנת אבטחה לא יעילות.

מנהלי התקנים הם קבצים חיוניים במחשב ה-Windows של כל אדם לעבודה תקינה עם מכשירים אחרים, כגון כרטיסים גרפיים, מדפסות, מצלמות אינטרנט ועוד. לאחר ההתקנה, זה נותן להם גישה למערכת ההפעלה של המכשיר שלך, מה שהופך את השלטים הדיגיטליים שבהם חשובים כדי להבטיח שהם בטוחים לשימוש. זה גם נותן ללקוחות ביטחון שלא קיימים חורי אבטחה בתוך הדרייברים, מה שעלול לגרום לניצול אבטחה במכשירי Windows שעלול לתת לשחקנים גרועים גישה למערכת.

חלק מהעדכונים של Windows הוא הוספת אותם מנהלי התקנים זדוניים לרשימת החסימה שלו כדי למנוע ממשתמשים אחרים להתקין אותם בטעות בעתיד. כלי נוסף שמיקרוסופט משתמשת בו כדי להוסיף שכבת הגנה שיש להימנע ממנה הוא שימוש בתכונה הנקראת Hypervisor-protected code integrity (HVCI), הנקראת גם Memory Integrity, המבטיחה שהדרייברים המותקנים בטוחים כדי למנוע משחקנים רעים להכניס קודים זדוניים לתוך מערכת של משתמש. לאחרונה, מיקרוסופט הדגישה ב פוסט שתכונה זו, יחד עם Virtual Machine Platform, מופעלת כברירת מחדל להגנה. החברה ציינה כי למשתמשים יש אפשרות להשבית אותו לאחר וידוא שהם משפיעים על ביצועי המשחק של המערכת (אם כי מיקרוסופט גם ציינה להפעיל אותה מחדש לאחר משחק). עם זאת, הצעות אלו התבררו כחסרות טעם לאחר ש-Ars Technica גילתה שתכונת HVCI אינה מספקת למעשה את ההגנה המלאה המצופה ממנה מפני נהגים זדוניים.

לפני הדוח של Ars Technica, מומחה פגיעות אבטחה וויל דורמן בחברת אבטחת הסייבר Analygence משותף תוצאת הבדיקה שלו, המראה שהבעיה ידועה בציבור מאז ספטמבר. 

"דף חוקי חסימת הדרייברים המומלצים של מיקרוסופט מציין שרשימת חסימת הדרייברים 'מוחלת' על מכשירים התומכים ב-HVCI", צייץ דורמן. "עם זאת, הנה מערכת התומכת ב-HVCI, ואחד הדרייברים ברשימת החסימות (WinRing0) נטען בשמחה. אני לא מאמין לרופאים".

בשרשור הציוצים, דורמן גם שיתף כי הרשימה לא עודכנה מאז 2019, מה שאומר שמשתמשים לא היו מוגנים מפני נהגים בעייתיים בשנים האחרונות למרות השימוש ב-HVCI, מה שחשף אותם ל"הבא את הנהג הפגיע שלך" או התקפות BYOVD .

"Microsoft Attack Surface Reduction (ASR) יכולה גם לחסום מנהלי התקנים והרשימות מסונכרנות עם רשימת חסימת הדרייברים שנאכפת על ידי HVCI", הוסיף דורמן. "חוץ מזה... בבדיקה שלי זה לא חוסם שום דבר."

מעניין, למרות שהנושא ידוע מאז ספטמבר, מיקרוסופט טיפלה בה רק באמצעות מנהל הפרויקט ג'פרי סאתרלנד באוקטובר הקרוב.

"עדכנו את המסמכים המקוונים והוספנו הורדה עם הוראות ליישום הגרסה הבינארית ישירות", השיב סאתרלנד לציוץ של דורמן. "אנחנו גם מתקנים את הבעיות בתהליך השירות שלנו שמנע ממכשירים לקבל עדכונים למדיניות."

מיקרוסופט גם הודתה בפגם בפני Ars Technica לאחרונה באמצעות נציג החברה. "רשימת הנהגים הפגיעים מתעדכנת באופן קבוע, אולם קיבלנו משוב היה פער בסנכרון בין גרסאות מערכת ההפעלה", אמר הדובר לאתר. "תיקנו את זה וזה יקבל שירות בעדכוני Windows הבאים ועתידיים. דף התיעוד יעודכן ככל שיצאו עדכונים חדשים."

מצד שני, בעוד שמיקרוסופט כבר סיפקה הוראות כיצד לעשות זאת עדכון ידני ברשימת החסימה של מנהלי התקנים הפגיעים, עדיין לא ברור מתי זה יבוצע אוטומטית על ידי מיקרוסופט באמצעות עדכונים.