A lista de bloqueio de drivers desatualizada da Microsoft expôs você a ataques de malware por cerca de 3 anos

A página de regras de bloqueio de driver recomendadas pela Microsoft afirma que a lista de bloqueio de driver "é aplicada a" dispositivos habilitados para HVCI.
No entanto, aqui está um sistema habilitado para HVCI e um dos drivers na lista de bloqueio (WinRing0) está carregado com sucesso.
Não acredito nos documentos.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy

- Will Dormann (@wdormann) 16 de Setembro de 2022

A Microsoft está constantemente oferecendo novos produtos e atualizações de segurança que prometem melhor proteção para seus usuários contra possíveis ataques de cibercriminosos. No entanto, em uma reviravolta inesperada, o site Ars Technica descobriu uma grande revelação, dizendo que os PCs com Windows foram realmente deixados desprotegidos nos últimos três anos de drivers maliciosos devido a um desatualizado lista de bloqueio de drivers vulneráveis e recursos de proteção de segurança ineficientes.

Drivers são arquivos essenciais do PC Windows de cada indivíduo para funcionar corretamente com outros dispositivos, como placas gráficas, impressoras, webcams e muito mais. Quando instalado, dá-lhes acesso ao sistema operacional da sua máquina, tornando os sinais digitais neles importantes para garantir que sejam seguros de usar. Isso também oferece aos clientes a garantia de que não há falhas de segurança nos drivers, o que pode causar exploração de segurança em dispositivos Windows que podem dar acesso ao sistema a agentes mal-intencionados.

Parte das atualizações do Windows é adicionar esses drivers maliciosos à sua própria lista de bloqueio para evitar que outros usuários os instalem acidentalmente no futuro. Outra ferramenta que a Microsoft está usando para adicionar uma camada de proteção para evitar isso é usando um recurso chamado integridade de código protegido por hipervisor (HVCI), também chamado de integridade de memória, que garante que os drivers instalados sejam seguros para impedir que agentes mal-intencionados coloquem códigos maliciosos em sistema de um usuário. Recentemente, a Microsoft destacou em um postar que esse recurso, junto com a Virtual Machine Platform, está habilitado por padrão para proteção. A empresa observou que os usuários têm a opção de desativá-lo depois de verificar se eles afetam o desempenho do jogo do sistema (embora a Microsoft também tenha mencionado ativá-lo novamente depois de jogar). No entanto, essas sugestões se mostraram inúteis depois que a Ars Technica descobriu que o recurso HVCI não fornece a proteção completa esperada contra drivers maliciosos.

Antes do relatório da Ars Technica, o especialista em vulnerabilidades de segurança Will Dormann da empresa de segurança cibernética Analygence compartilhado o resultado de seu próprio teste, mostrando que o problema é conhecido publicamente desde setembro. 

“A página de regras de bloqueio de driver recomendada pela Microsoft afirma que a lista de bloqueio de driver 'é aplicada a' dispositivos habilitados para HVCI”, twittou Dormann. “No entanto, aqui está um sistema habilitado para HVCI e um dos drivers na lista de bloqueio (WinRing0) está carregado com sucesso. Eu não acredito nos documentos.”

No tópico de tweets, Dormann também compartilhou que a lista não é atualizada desde 2019, o que significa que os usuários estão desprotegidos de drivers problemáticos nos últimos anos, apesar de usarem HVCI, expondo-os a “traga seu próprio driver vulnerável” ou ataques BYOVD. .

“A redução da superfície de ataque da Microsoft (ASR) também pode bloquear drivers e as listas estão em sincronia com a lista de bloqueio de drivers aplicada por HVCI”, acrescentou Dormann. “Exceto… nos meus testes, não bloqueia nada.”

Curiosamente, embora o problema seja conhecido desde setembro, a Microsoft só o abordou através do gerente de projetos Jeffery Sutherland em outubro.

“Atualizamos os documentos online e adicionamos um download com instruções para aplicar a versão binária diretamente”, respondeu Sutherland ao tweet de Dormann. “Também estamos corrigindo os problemas com nosso processo de manutenção que impediu que os dispositivos recebessem atualizações da política.”

A Microsoft também admitiu a falha à Ars Technica recentemente por meio de um representante da empresa. “A lista de drivers vulneráveis ​​é atualizada regularmente, mas recebemos feedback de que houve uma lacuna na sincronização entre as versões do sistema operacional”, disse o porta-voz ao site. “Nós corrigimos isso e será atendido nas próximas e futuras atualizações do Windows. A página de documentação será atualizada à medida que novas atualizações forem lançadas.”

Por outro lado, embora a Microsoft já tenha fornecido instruções sobre como atualizar manualmente a lista de bloqueio de drivers vulneráveis, ainda não está claro quando isso será feito automaticamente pela Microsoft por meio de atualizações.