De verouderde blokkeerlijst van Microsoft voor stuurprogramma's heeft u ongeveer 3 jaar blootgesteld aan malware-aanvallen

Op de pagina met door Microsoft aanbevolen blokkeringsregels voor stuurprogramma's staat dat de lijst met stuurprogrammablokkeringen "wordt toegepast op" HVCI-apparaten.
Maar hier is een HVCI-enabled systeem en een van de stuurprogramma's in de blokkeerlijst (WinRing0) is gelukkig geladen.
Ik geloof de documenten niet.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy

- Will Dormann (@wdormann) 16 september 2022

Microsoft biedt voortdurend nieuwe beveiligingsproducten en updates aan die een betere bescherming voor zijn gebruikers beloven tegen mogelijke cybercriminele aanvallen. Bij een onverwachte wending kan de website Ars Technica ontdekte een enorme onthulling, waarin stond dat Windows-pc's de afgelopen drie jaar feitelijk onbeschermd zijn gelaten tegen kwaadaardige stuurprogramma's als gevolg van een verouderde blokkeerlijst van kwetsbare stuurprogramma's en inefficiënte beveiligingsfuncties.

Stuurprogramma's zijn essentiële bestanden van de Windows-pc van elk individu om correct te werken met andere apparaten, zoals grafische kaarten, printers, webcams en meer. Na installatie geeft dit ze toegang tot het besturingssysteem van uw machine, waardoor de digitale tekens erin belangrijk zijn om ervoor te zorgen dat ze veilig te gebruiken zijn. Dit geeft klanten ook de zekerheid dat er geen beveiligingslekken aanwezig zijn in de stuurprogramma's, wat kan leiden tot misbruik van de beveiliging op Windows-apparaten waardoor kwaadwillenden mogelijk toegang krijgen tot het systeem.

Onderdeel van Windows-updates is het toevoegen van die schadelijke stuurprogramma's aan hun eigen blokkeerlijst om te voorkomen dat andere gebruikers ze in de toekomst per ongeluk installeren. Een ander hulpmiddel dat Microsoft gebruikt om een ​​beveiligingslaag toe te voegen om dat te voorkomen, is door het gebruik van een functie genaamd hypervisor-beveiligde code-integriteit (HVCI), ook wel Memory Integrity genoemd, die ervoor zorgt dat de geïnstalleerde stuurprogramma's veilig zijn om te voorkomen dat kwaadwillenden kwaadaardige codes in het systeem van een gebruiker. Onlangs benadrukte Microsoft in een post dat deze functie, samen met Virtual Machine Platform, standaard is ingeschakeld voor bescherming. Het bedrijf merkte op dat gebruikers de mogelijkheid hebben om het uit te schakelen nadat ze hebben geverifieerd dat ze de spelprestaties van het systeem beïnvloeden (hoewel Microsoft ook vermeldde het weer aan te zetten na het spelen van games). Deze suggesties bleken echter zinloos nadat Ars Technica ontdekte dat de HVCI-functie niet de volledige bescherming biedt die ervan wordt verwacht tegen schadelijke stuurprogramma's.

Voorafgaand aan het rapport van Ars Technica, beveiligingskwetsbaarheidsexpert Will Dormann bij cyberbeveiligingsbedrijf Analygence gedeeld het resultaat van zijn eigen test, waaruit blijkt dat het probleem sinds september publiekelijk bekend is. 

"Op de door Microsoft aanbevolen pagina met regels voor het blokkeren van stuurprogramma's staat dat de lijst met stuurprogramma's wordt 'toegepast op' HVCI-apparaten", tweette Dormann. "Toch is hier een HVCI-enabled systeem en een van de stuurprogramma's in de blokkeerlijst (WinRing0) is gelukkig geladen. Ik geloof de documenten niet.”

In de thread van tweets deelde Dormann ook dat de lijst sinds 2019 niet is bijgewerkt, wat betekent dat gebruikers de afgelopen jaren niet zijn beschermd tegen problematische stuurprogramma's ondanks het gebruik van HVCI, waardoor ze worden blootgesteld aan "breng je eigen kwetsbare stuurprogramma" of BYOVD-aanvallen .

"Microsoft Attack Surface Reduction (ASR) kan ook stuurprogramma's blokkeren en de lijsten zijn synchroon met de HVCI-afgedwongen blokkeerlijst voor stuurprogramma's", voegde Dormann eraan toe. "Behalve... in mijn testen blokkeert het niets."

Interessant is dat, hoewel het probleem al sinds september bekend is, Microsoft het in oktober pas via projectmanager Jeffery Sutherland heeft aangepakt.

"We hebben de online documenten bijgewerkt en een download toegevoegd met instructies om de binaire versie rechtstreeks toe te passen", antwoordde Sutherland op de tweet van Dormann. "We lossen ook de problemen op met ons onderhoudsproces waardoor apparaten geen updates van het beleid konden ontvangen."

Microsoft heeft de fout onlangs ook toegegeven aan Ars Technica via een bedrijfsvertegenwoordiger. "De lijst met kwetsbare stuurprogramma's wordt regelmatig bijgewerkt, maar we hebben feedback ontvangen dat er een hiaat is in de synchronisatie tussen OS-versies", vertelde de woordvoerder aan de website. "We hebben dit gecorrigeerd en het zal worden onderhouden in aankomende en toekomstige Windows-updates. De documentatiepagina wordt bijgewerkt zodra er nieuwe updates worden uitgebracht.”

Aan de andere kant, terwijl Microsoft al instructies heeft gegeven over hoe handmatig bijwerken de blokkeerlijst van kwetsbare stuurprogramma's, is het nog steeds onduidelijk wanneer dit automatisch door Microsoft wordt gedaan via updates.