Nieaktualna lista blokowania sterowników firmy Microsoft narażała Cię na ataki złośliwego oprogramowania przez około 3 lata

Strona zalecanych przez firmę Microsoft reguł blokowania sterowników stwierdza, że ​​lista blokowanych sterowników „jest stosowana do” urządzeń obsługujących HVCI.
Jednak tutaj jest system obsługujący HVCI, a jeden ze sterowników na liście bloków (WinRing0) jest szczęśliwie załadowany.
Nie wierzę doktorom.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy

- Will Dormann (@wdormann) 16 września 2022 r.

Firma Microsoft stale oferuje nowe produkty zabezpieczające i aktualizacje, które obiecują lepszą ochronę swoich użytkowników przed możliwymi atakami cyberprzestępców. Jednak w nieoczekiwanym obrocie wydarzeń strona internetowa Ars Technica odkrył ogromne odkrycie, mówiąc, że komputery z systemem Windows były w rzeczywistości pozostawione bez ochrony przez ostatnie trzy lata przed złośliwymi sterownikami z powodu przestarzałego lista zablokowanych sterowników i nieefektywne funkcje ochrony.

Sterowniki są niezbędnymi plikami każdego komputera z systemem Windows, aby poprawnie współpracować z innymi urządzeniami, takimi jak karty graficzne, drukarki, kamery internetowe i inne. Po zainstalowaniu daje im to dostęp do systemu operacyjnego maszyny, co sprawia, że ​​zawarte w nich znaki cyfrowe są ważne, aby zapewnić ich bezpieczeństwo w użyciu. Daje to również klientom pewność, że w sterownikach nie występują luki w zabezpieczeniach, które mogą powodować wykorzystywanie zabezpieczeń na urządzeniach z systemem Windows, co może dać szkodliwym graczom dostęp do systemu.

Część aktualizacji systemu Windows dodaje te złośliwe sterowniki do własnej listy blokowania, aby uniemożliwić innym użytkownikom przypadkowe zainstalowanie ich w przyszłości. Innym narzędziem używanym przez firmę Microsoft w celu dodania warstwy ochrony, aby tego uniknąć, jest użycie funkcji zwanej integralnością kodu chronionego przez hiperwizor (HVCI), zwanej również integralnością pamięci, która zapewnia, że ​​zainstalowane sterowniki są bezpieczne, aby uniemożliwić złośliwym podmiotom wprowadzanie złośliwych kodów do system użytkownika. Ostatnio Microsoft podkreślił w pisać że ta funkcja, wraz z platformą maszyny wirtualnej, jest domyślnie włączona w celu ochrony. Firma zauważyła, że ​​użytkownicy mają możliwość wyłączenia go po sprawdzeniu, czy wpływają na wydajność gry systemu (chociaż Microsoft wspomniał również o ponownym włączeniu go po graniu w gry). Sugestie te okazały się jednak bezcelowe po tym, jak Ars Technica odkrył, że funkcja HVCI w rzeczywistości nie zapewnia pełnej ochrony przed złośliwymi sterownikami, jakiej oczekuje się od niej.

Przed raportem Ars Technica ekspert ds. luk w zabezpieczeniach Will Dormann w firmie Analygence zajmującej się cyberbezpieczeństwem shared wynik jego własnego testu, pokazujący, że sprawa jest znana publicznie od września. 

„Strona z regułami blokowania sterowników zalecana przez firmę Microsoft stwierdza, że ​​lista blokowanych sterowników„ jest stosowana do” urządzeń obsługujących HVCI” — napisał na Twitterze Dormann. „Ale tutaj jest system obsługujący HVCI, a jeden ze sterowników na liście bloków (WinRing0) jest szczęśliwie załadowany. Nie wierzę w dokumenty.

W wątku tweetów Dormann podzielił się również, że lista nie była aktualizowana od 2019 roku, co oznacza, że ​​użytkownicy nie byli chronieni przed problematycznymi sterownikami przez ostatnie lata pomimo korzystania z HVCI, narażając ich na „przyniesienie własnego wrażliwego sterownika” lub ataki BYOVD .

„Microsoft Attack Surface Reduction (ASR) może również blokować sterowniki, a listy są zsynchronizowane z listą blokowania sterowników wymuszonych przez HVCI” – dodał Dormann. „Z wyjątkiem… w moich testach niczego nie blokuje”.

Co ciekawe, chociaż problem był znany od września, Microsoft rozwiązał go dopiero za pośrednictwem kierownika projektu Jeffery'ego Sutherlanda w październiku tego roku.

„Zaktualizowaliśmy dokumentację online i dodaliśmy plik do pobrania z instrukcjami bezpośredniego zastosowania wersji binarnej” — odpowiedział Sutherland na tweet Dormanna. „Naprawiamy również problemy z naszym procesem serwisowania, który uniemożliwiał urządzeniom otrzymywanie aktualizacji zasad”.

Microsoft przyznał się również do błędu Ars Technica niedawno za pośrednictwem przedstawiciela firmy. „Lista podatnych sterowników jest regularnie aktualizowana, jednak otrzymaliśmy informację zwrotną, że wystąpiła luka w synchronizacji między wersjami systemu operacyjnego”, powiedział rzecznik witryny. „Poprawiliśmy to i będzie serwisowane w nadchodzących i przyszłych aktualizacjach systemu Windows. Strona dokumentacji będzie aktualizowana w miarę pojawiania się nowych aktualizacji.”

Z drugiej strony, podczas gdy Microsoft dostarczył już instrukcje, jak: ręczna aktualizacja podatnej na ataki listy blokowania sterowników, nadal nie jest jasne, kiedy zostanie to zrobione automatycznie przez Microsoft za pośrednictwem aktualizacji.