약 3년 동안 맬웨어 공격에 노출된 Microsoft의 오래된 드라이버 차단 목록
4 분. 읽다
에 게시됨
이 기사 공유
이 가이드를 개선하세요
공개 페이지를 읽고 MSPoweruser가 편집팀을 유지하는 데 어떻게 도움을 줄 수 있는지 알아보세요. 자세히 보기
Microsoft 권장 드라이버 차단 규칙 페이지에는 드라이버 차단 목록이 HVCI 지원 장치에 "적용됨"이 나와 있습니다.
그러나 여기에 HVCI 지원 시스템이 있으며 차단 목록(WinRing0)에 있는 드라이버 중 하나가 행복하게 로드됩니다.
나는 문서를 믿지 않는다.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy-Will Dormann (@wdormann) 2022 년 9 월 16 일
Microsoft는 가능한 사이버 범죄 공격으로부터 사용자를 더 잘 보호할 수 있는 새로운 보안 제품과 업데이트를 지속적으로 제공하고 있습니다. 그런데 뜻밖의 사건으로 홈페이지가 ARS Technica Windows PC가 오래된 버전으로 인해 악성 드라이버로부터 지난 XNUMX년 동안 실제로 보호되지 않은 상태로 방치되어 왔다는 엄청난 폭로를 발견했습니다. 취약한 드라이버 차단 목록 비효율적인 보안 보호 기능.
드라이버는 그래픽 카드, 프린터, 웹캠 등과 같은 다른 장치와 제대로 작동하기 위해 모든 개인의 Windows PC에 필수적인 파일입니다. 설치하면 사용자가 기계의 운영 체제에 액세스할 수 있으므로 안전하게 사용할 수 있도록 디지털 사인이 중요합니다. 이것은 또한 고객에게 드라이버 내에 보안 허점이 존재하지 않는다는 확신을 제공하며, 이는 악의적인 행위자가 시스템에 액세스할 수 있는 Windows 장치의 보안 악용을 유발할 수 있습니다.
Windows 업데이트의 일부는 이러한 악성 드라이버를 자체 차단 목록에 추가하여 나중에 다른 사용자가 실수로 설치하는 것을 방지합니다. Microsoft가 이를 방지하기 위해 보호 계층을 추가하는 데 사용하는 또 다른 도구는 메모리 무결성이라고도 하는 HVCI(하이퍼바이저 보호 코드 무결성)라는 기능을 사용하는 것입니다. 사용자의 시스템. 최근 마이크로소프트는 다음과 같이 강조했다. 게시 이 기능은 가상 머신 플랫폼과 함께 보호를 위해 기본적으로 활성화되어 있습니다. 회사는 사용자가 시스템의 게임 성능에 영향을 미치는지 확인한 후 비활성화할 수 있는 옵션이 있다고 언급했습니다(Microsoft도 게임을 한 후 다시 켜는 것에 대해 언급했지만). 그러나 이러한 제안은 Ars Technica가 HVCI 기능이 실제로 악의적인 드라이버에 대해 예상되는 완전한 보호를 제공하지 않는다는 것을 발견한 후 무의미한 것으로 밝혀졌습니다.
Ars Technica의 보고서에 앞서 사이버 보안 기업 Analygence의 보안 취약점 전문가 Will Dormann은 공유 XNUMX월부터 이 문제가 공개적으로 알려졌음을 보여주는 자신의 테스트 결과.
Dormann은 트윗에서 “Microsoft 권장 드라이버 차단 규칙 페이지에는 드라이버 차단 목록이 HVCI 지원 장치에 '적용'된다고 명시되어 있습니다. "하지만 여기에 HVCI 지원 시스템이 있으며 차단 목록(WinRing0)에 있는 드라이버 중 하나가 행복하게 로드됩니다. 나는 문서를 믿지 않는다.”
트윗 스레드에서 Dormann은 또한 목록이 2019년 이후 업데이트되지 않았음을 공유했습니다. 즉, 사용자가 HVCI를 사용했음에도 불구하고 지난 몇 년 동안 문제가 있는 드라이버로부터 보호되지 않아 "취약한 드라이버 가져오기" 또는 BYOVD 공격에 노출되었습니다. .
Dormann은 "Microsoft ASR(Attack Surface Reduction)도 드라이버를 차단할 수 있으며 목록은 HVCI 적용 드라이버 차단 목록과 동기화됩니다. "단... 내 테스트에서는 아무것도 차단하지 않습니다."
흥미롭게도 이 문제는 XNUMX월부터 알려졌지만 Microsoft는 이번 XNUMX월에 프로젝트 관리자인 Jeffery Sutherland를 통해서만 문제를 해결했습니다.
Sutherland는 Dormann의 트윗에 “온라인 문서를 업데이트하고 바이너리 버전을 직접 적용하기 위한 지침과 함께 다운로드를 추가했습니다. "또한 장치에서 정책 업데이트를 수신하지 못하게 하는 서비스 프로세스 문제를 해결하고 있습니다."
마이크로소프트도 최근 회사 대표를 통해 아르스테크니카에 결함을 인정했다. 대변인은 웹사이트에 “취약한 드라이버 목록은 정기적으로 업데이트되지만 OS 버전 간에 동기화에 차이가 있다는 피드백을 받았습니다. "이를 수정했으며 향후 및 향후 Windows 업데이트에서 서비스될 예정입니다. 새 업데이트가 릴리스되면 설명서 페이지가 업데이트됩니다.”
반면에 Microsoft는 이미 수동으로 업데이트 취약한 드라이버 차단 목록에 있지만 업데이트를 통해 Microsoft에서 자동으로 언제 완료될지는 아직 확실하지 않습니다.
