Lista învechită de blocare a driverelor Microsoft v-a expus la atacuri malware timp de aproximativ 3 ani

Pagina de reguli de blocare a driverelor recomandate de Microsoft afirmă că lista de blocare a driverelor „se aplică” dispozitivelor compatibile HVCI.
Cu toate acestea, aici este un sistem activat HVCI, iar unul dintre driverele din lista de blocare (WinRing0) este încărcat fericit.
Nu cred documentele.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy

- Will Dormann (@wdormann) 16 Septembrie, 2022

Microsoft oferă în mod constant noi produse de securitate și actualizări care promit o protecție mai bună pentru utilizatorii săi împotriva posibilelor atacuri cibernetice. Cu toate acestea, într-o întorsătură neașteptată a evenimentelor, site-ul Ars Technica a descoperit o revelație uriașă, spunând că computerele Windows au fost de fapt lăsate neprotejate în ultimii trei ani de drivere rău intenționate din cauza unui lista de blocare a șoferilor vulnerabili și caracteristici ineficiente de protecție a securității.

Driverele sunt fișiere esențiale ale fiecărui PC Windows pentru a funcționa corect cu alte dispozitive, cum ar fi plăcile grafice, imprimantele, camerele web și multe altele. Când sunt instalate, acest lucru le oferă acces la sistemul de operare al mașinii dvs., ceea ce face ca semnele digitale din ele să fie importante pentru a se asigura că sunt sigure de utilizat. Acest lucru oferă, de asemenea, clienților asigurarea că nu sunt prezente găuri de securitate în drivere, ceea ce poate provoca exploatarea securității pe dispozitivele Windows care ar putea oferi actorilor răi accesul la sistem.

O parte a actualizărilor Windows este adăugarea acelor drivere rău intenționate la propria listă de blocare pentru a preveni alți utilizatori să le instaleze accidental în viitor. Un alt instrument pe care Microsoft îl folosește pentru a adăuga un strat de protecție pentru a evita acest lucru este prin utilizarea unei funcții numite integritatea codului protejat prin hipervizor (HVCI), numită și Integritate memorie, care asigură că driverele instalate sunt în siguranță pentru a împiedica actorii răi să introducă coduri rău intenționate în sistemul unui utilizator. Recent, Microsoft a subliniat într-un post că această caracteristică, împreună cu Virtual Machine Platform, este activată implicit pentru protecție. Compania a remarcat că utilizatorii au opțiunea de a-l dezactiva după ce verifică dacă afectează performanța jocului a sistemului (deși Microsoft a menționat și repornirea acestuia după ce au jucat jocuri). Cu toate acestea, aceste sugestii s-au dovedit a fi inutile după ce Ars Technica a descoperit că caracteristica HVCI nu oferă de fapt protecția completă așteptată de la ea împotriva driverelor rău intenționate.

Înainte de raportul Ars Technica, expertul în vulnerabilități de securitate Will Dormann de la compania de securitate cibernetică Analygence comun rezultatul propriului său test, arătând că problema a fost cunoscută public din septembrie. 

„Pagina de reguli de blocare a driverelor recomandate de Microsoft afirmă că lista de blocare a driverelor „se aplică” dispozitivelor compatibile HVCI”, a scris Dormann pe Twitter. „Totuși, aici este un sistem activat pentru HVCI, iar unul dintre driverele din lista de blocare (WinRing0) este încărcat fericit. Nu cred documentele.”

În firul de tweet-uri, Dormann a mai spus că lista nu a fost actualizată din 2019, ceea ce înseamnă că utilizatorii au fost neprotejați de șoferii problematici în ultimii ani, în ciuda utilizării HVCI, expunându-i la „aduceți propriul șofer vulnerabil” sau atacuri BYOVD. .

„Microsoft Attack Surface Reduction (ASR) poate bloca și șoferii, iar listele sunt sincronizate cu lista de blocare a șoferilor impusă de HVCI”, a adăugat Dormann. „Cu excepția faptului că... în testarea mea, nu blochează nimic.”

Interesant, deși problema este cunoscută din septembrie, Microsoft a abordat-o doar prin managerul de proiect Jeffery Sutherland în octombrie.

„Am actualizat documentele online și am adăugat o descărcare cu instrucțiuni pentru a aplica direct versiunea binară”, a răspuns Sutherland la tweet-ul lui Dormann. „De asemenea, rezolvăm problemele legate de procesul nostru de service, care a împiedicat dispozitivele să primească actualizări ale politicii.”

Microsoft a recunoscut recent defectul la Ars Technica printr-un reprezentant al companiei. „Lista de drivere vulnerabili este actualizată în mod regulat, cu toate acestea am primit feedback, a existat un decalaj în sincronizare între versiunile de sistem de operare”, a declarat purtătorul de cuvânt pe site-ul web. „Am corectat acest lucru și va fi reparat în actualizările Windows viitoare și viitoare. Pagina de documentație va fi actualizată pe măsură ce sunt lansate noi actualizări.”

Pe de altă parte, în timp ce Microsoft a oferit deja instrucțiuni despre cum actualizați manual lista de blocare a driverelor vulnerabile, încă nu este clar când va fi făcut automat de Microsoft prin actualizări.