Microsoft の古いドライバーブロックリストにより、約 3 年間マルウェア攻撃にさらされました

読書時間アイコン 4分。読んだ

カレンダーアイコン上で公開 2022 年 10 月 17 日

上の公表 2022 年 10 月 17 日

読者は MSpoweruser のサポートを支援します。私たちのリンクを通じて購入すると、手数料が発生する場合があります。

Microsoft 推奨のドライバーブロックルールページには、ドライバーブロックリストが HVCI 対応デバイスに "適用される" と記載されています。
しかし、これは HVCI 対応のシステムであり、ブロックリスト内のドライバーの 0 つ (WinRingXNUMX) が正常に読み込まれています。
私はドキュメントを信じていません。https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy

— Will Dormann（@wdormann） 2022 年 9 月 16 日

マイクロソフトは、サイバー犯罪者の攻撃に対するユーザーの保護を強化することを約束する新しいセキュリティ製品と更新プログラムを常に提供しています。ところが、ひょんなことからこのサイトは Ars Technicaの Windows PC は過去 XNUMX 年間、実際には悪意のあるドライバーから保護されずに放置されていたという重大な事実が明らかになりました。 脆弱なドライバーのブロックリスト 非効率的なセキュリティ保護機能。

ドライバーは、グラフィックスカード、プリンター、Web カメラなどの他のデバイスと正常に動作するために、すべての個人の Windows PC に不可欠なファイルです。インストールすると、マシンのオペレーティングシステムにアクセスできるようになるため、安全に使用できるようにするためにデジタルサインが重要になります。これにより、悪意のあるユーザーがシステムにアクセスできる可能性がある Windows デバイスでセキュリティの悪用を引き起こす可能性がある、ドライバー内にセキュリティホールが存在しないという保証も顧客に与えられます。

Windows 更新プログラムの一部は、これらの悪意のあるドライバーを独自のブロックリストに追加して、他のユーザーが将来それらを誤ってインストールするのを防ぎます。 Microsoft がそれを回避するために保護レイヤーを追加するために使用している別のツールは、ハイパーバイザーで保護されたコード整合性 (HVCI) と呼ばれる機能 (メモリ整合性とも呼ばれます) を使用することです。ユーザーのシステム。最近、マイクロソフトは次のように強調しました。役職この機能は、仮想マシンプラットフォームと共に、保護のためにデフォルトで有効になっています。同社は、ユーザーがシステムのゲームパフォーマンスに影響を与えることを確認した後、それを無効にするオプションがあることを指摘しました (ただし、Microsoft はゲームをプレイした後にそれを再びオンにすることにも言及しています)。しかし、Ars Technica が HVCI 機能が悪意のあるドライバーに対して期待される完全な保護を実際に提供していないことを発見した後、これらの提案は無意味であることが判明しました。

Ars Technica のレポートに先立って、サイバーセキュリティ企業 Analygence のセキュリティ脆弱性の専門家である Will Dormann 氏は、 shared 彼自身のテストの結果は、この問題が XNUMX 月以降公に知られていることを示しています。

「マイクロソフトが推奨するドライバーブロックルールのページには、ドライバーブロックリストが HVCI 対応デバイスに「適用される」と記載されています」と Dormann 氏はツイートしました。「しかし、これは HVCI 対応のシステムであり、ブロックリスト (WinRing0) 内のドライバーの XNUMX つが正常に読み込まれています。私はその文書を信じていません。」

ツイートのスレッドで、Dormann は、リストが 2019 年以降更新されていないことも共有しました。これは、ユーザーが HVCI を使用しているにもかかわらず、過去数年間、問題のあるドライバーから保護されておらず、「脆弱なドライバーを独自に使用する」または BYOVD 攻撃にさらされていることを意味します。 .

「Microsoft Attack Surface Reduction (ASR) はドライバーをブロックすることもでき、リストは HVCI が適用されたドライバーブロックリストと同期しています」と Dormann 氏は付け加えました。「例外は…私のテストでは、何もブロックしませんでした。」

興味深いことに、この問題は XNUMX 月から知られていましたが、Microsoft はこの XNUMX 月にプロジェクトマネージャーの Jeffery Sutherland を通じてのみこの問題に対処しました。

「オンラインドキュメントを更新し、バイナリバージョンを直接適用する手順を記載したダウンロードを追加しました」と Sutherland 氏は Dormann 氏のツイートに返信しました。「また、デバイスがポリシーの更新を受け取れなかったサービスプロセスの問題も修正しています。」

Microsoft は最近、同社の担当者を通じて Ars Technica に欠陥を認めました。「脆弱なドライバーのリストは定期的に更新されていますが、OS バージョン間の同期にギャップがあるというフィードバックを受け取りました」と広報担当者は Web サイトに語っています。「これを修正し、今後の Windows Update でサービスを提供する予定です。新しいアップデートがリリースされると、ドキュメントページが更新されます。」

一方、Microsoft はすでに、手動で更新脆弱なドライバーのブロックリストに含まれていますが、Microsoft が更新プログラムを通じて自動的に行う時期はまだ不明です。

トピックの詳細: サイバー攻撃, ドライバーの問題, ドライバー, マルウェア, セキュリティ, 脆弱なドライバーのブロックリスト, ウィンドウズ, 10窓, 11窓

シャロンベネット

レポーター

Sharron は、mspoweruser.com の技術レポーターです。彼女は、ソニー、サムスン、グーグルなどのブランドのほとんどのテクノロジーニュースをカバーしています。

コメントを残す