Microsofts utdaterte blokkeringsliste over drivere utsatte deg for angrep mot skadelig programvare i omtrent 3 år

Siden Microsoft anbefalte driverblokkeringsregler sier at driverblokkeringslisten "brukes på" HVCI-aktiverte enheter.
Men her er et HVCI-aktivert system, og en av driverne i blokkeringslisten (WinRing0) er lykkelig lastet.
Jeg tror ikke på legene.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy

- Will Dormann (@wdormann) September 16, 2022

Microsoft tilbyr stadig nye sikkerhetsprodukter og oppdateringer som lover bedre beskyttelse for sine brukere mot mulige nettkriminelle angrep. Men i en uventet vending, nettstedet Ars Technica avdekket en stor åpenbaring, og sa at Windows-PC-er faktisk har vært ubeskyttet de siste tre årene fra ondsinnede drivere på grunn av en utdatert blokkeringsliste for sårbare sjåfører og ineffektive sikkerhetsbeskyttelsesfunksjoner.

Drivere er viktige filer på hver enkelts Windows-PC for å fungere ordentlig med andre enheter, for eksempel grafikkort, skrivere, webkameraer og mer. Når den er installert, gir dette dem tilgang til maskinens operativsystem, noe som gjør de digitale skiltene i dem viktige for å sikre at de er trygge å bruke. Dette gir også kundene forsikring om at det ikke er noen sikkerhetshull i driverne, noe som kan forårsake sikkerhetsutnyttelse på Windows-enheter som muligens kan gi dårlige aktører tilgang til systemet.

En del av Windows-oppdateringer er å legge til de ondsinnede driverne til sin egen blokkeringsliste for å forhindre at andre brukere ved et uhell installerer dem i fremtiden. Et annet verktøy Microsoft bruker for å legge til et lag med beskyttelse for å unngå det, er ved å bruke en funksjon kalt hypervisor-beskyttet kodeintegritet (HVCI), også kalt Memory Integrity, som sikrer at driverne som er installert er trygge for å forhindre dårlige aktører fra å sette ondsinnede koder inn i en brukers system. Nylig understreket Microsoft i en poste at denne funksjonen, sammen med Virtual Machine Platform, er aktivert som standard for beskyttelse. Selskapet bemerket at brukere har muligheten til å deaktivere det etter å ha bekreftet at de påvirker spillytelsen til systemet (selv om Microsoft også nevnte å slå det på igjen etter å ha spilt spill). Disse forslagene viste seg imidlertid å være meningsløse etter at Ars Technica oppdaget at HVCI-funksjonen faktisk ikke gir den fulle beskyttelsen som forventes av den mot ondsinnede drivere.

Før Ars Technicas rapport, sikkerhetssårbarhetsekspert Will Dormann i cybersikkerhetsselskapet Analygence delt resultatet av hans egen test, som viser at problemet har vært kjent offentlig siden september. 

"Microsofts anbefalte driverblokkeringsside sier at driverblokkeringslisten 'brukes på' HVCI-aktiverte enheter," tvitret Dormann. "Her er likevel et HVCI-aktivert system, og en av driverne i blokkeringslisten (WinRing0) er lykkelig lastet inn. Jeg tror ikke på legene.»

I tråden med tweets delte Dormann også at listen ikke har blitt oppdatert siden 2019, noe som betyr at brukere har vært ubeskyttet mot problematiske drivere de siste årene til tross for bruk av HVCI, noe som utsetter dem for "ta med din egen sårbare sjåfør" eller BYOVD-angrep .

"Microsoft Attack Surface Reduction (ASR) kan også blokkere drivere og listene er synkronisert med den HVCI-håndhevede driverblokkeringslisten," la Dormann til. "Bortsett fra... i testingen min blokkerer det ikke noe."

Interessant nok, selv om problemet har vært kjent siden september, tok Microsoft det bare opp gjennom prosjektleder Jeffery Sutherland i oktober.

"Vi har oppdatert online-dokumentene og lagt til en nedlasting med instruksjoner for å bruke den binære versjonen direkte," svarte Sutherland på Dormanns tweet. "Vi fikser også problemene med serviceprosessen vår som har forhindret enheter i å motta oppdateringer til policyen."

Microsoft innrømmet også feilen overfor Ars Technica nylig gjennom en representant for selskapet. "Den sårbare driverlisten oppdateres jevnlig, men vi fikk tilbakemeldinger om at det har vært et gap i synkroniseringen på tvers av OS-versjoner," sa talspersonen til nettstedet. "Vi har rettet dette, og det vil bli betjent i kommende og fremtidige Windows-oppdateringer. Dokumentasjonssiden vil bli oppdatert etter hvert som nye oppdateringer utgis."

På den annen side, mens Microsoft allerede har gitt instruksjoner om hvordan manuell oppdatering den sårbare driverblokkeringslisten, er det fortsatt uklart når det vil bli gjort automatisk av Microsoft gjennom oppdateringer.