Устаревший черный список драйверов Microsoft подвергал вас атакам вредоносных программ в течение примерно 3 лет

На странице рекомендуемых Microsoft правил блокировки драйверов указано, что список блокировки драйверов «применяется» к устройствам с поддержкой HVCI.
Тем не менее, вот система с поддержкой HVCI, и один из драйверов в черном списке (WinRing0) успешно загружен.
Я не верю документам.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy

- Уилл Дорманн (@wdormann) 16 сентября, 2022

Microsoft постоянно предлагает новые продукты безопасности и обновления, обещая лучшую защиту своих пользователей от возможных атак киберпреступников. Однако при неожиданном повороте событий сайт Ars Technica раскрыл огромное откровение, заявив, что ПК с Windows фактически оставались незащищенными в течение последних трех лет от вредоносных драйверов из-за устаревшего черный список уязвимых драйверов и неэффективные функции защиты безопасности.

Драйверы — это файлы, необходимые каждому ПК с Windows для правильной работы с другими устройствами, такими как видеокарты, принтеры, веб-камеры и т. д. После установки это дает им доступ к операционной системе вашего компьютера, что делает цифровые знаки в них важными для обеспечения их безопасного использования. Это также дает клиентам уверенность в том, что в драйверах нет дыр в безопасности, которые могут привести к уязвимости системы безопасности на устройствах Windows, что может дать злоумышленникам доступ к системе.

Часть обновлений Windows добавляет эти вредоносные драйверы в собственный черный список, чтобы предотвратить их случайную установку другими пользователями в будущем. Еще один инструмент, который Microsoft использует для добавления уровня защиты, чтобы избежать этого, использует функцию, называемую целостностью кода, защищенной гипервизором (HVCI), также называемую целостностью памяти, которая обеспечивает безопасность установленных драйверов, чтобы предотвратить внедрение вредоносных кодов злоумышленниками. система пользователя. Недавно Microsoft подчеркнула в после что эта функция вместе с платформой виртуальных машин включена по умолчанию для защиты. Компания отметила, что у пользователей есть возможность отключить его после проверки того, что они влияют на производительность игры в системе (хотя Microsoft также упомянула о включении его снова после игр). Однако эти предложения оказались бесполезными после того, как Ars Technica обнаружила, что функция HVCI на самом деле не обеспечивает полной защиты от вредоносных драйверов, ожидаемой от нее.

Перед отчетом Ars Technica эксперт по уязвимостям безопасности Уилл Дорманн из компании по кибербезопасности Analygence. общие результат его собственного теста, показывающий, что проблема была известна общественности с сентября. 

«На странице рекомендуемых Microsoft правил блокировки драйверов указано, что список блокировки драйверов «применяется» к устройствам с поддержкой HVCI», — написал Дорманн в Твиттере. «Тем не менее, вот система с поддержкой HVCI, и один из драйверов в черном списке (WinRing0) успешно загружен. Я не верю документам».

В потоке твитов Дорманн также поделился, что список не обновлялся с 2019 года, а это означает, что пользователи не были защищены от проблемных драйверов в течение последних лет, несмотря на использование HVCI, подвергая их риску «принесите свой собственный уязвимый драйвер» или атакам BYOVD. .

«Microsoft Attack Surface Reduction (ASR) также может блокировать драйверы, а списки синхронизированы со списком блокировок драйверов с применением HVCI», — добавил Дорманн. «За исключением… в моем тесте он ничего не блокирует».

Интересно, что хотя проблема была известна с сентября, Microsoft обратилась к ней только через менеджера проекта Джеффри Сазерленда в октябре этого года.

«Мы обновили онлайн-документы и добавили загрузку с инструкциями по непосредственному применению бинарной версии», — ответил Сазерленд на твит Дорманна. «Мы также исправляем проблемы с нашим процессом обслуживания, из-за которых устройства не могли получать обновления политики».

Microsoft также недавно признала недостаток в Ars Technica через представителя компании. «Список уязвимых драйверов регулярно обновляется, однако мы получили отзывы о том, что между версиями ОС существует разрыв в синхронизации», — сообщил представитель компании. «Мы исправили это, и оно будет исправлено в предстоящих и будущих обновлениях Windows. Страница документации будет обновляться по мере выпуска новых обновлений».

С другой стороны, хотя Microsoft уже предоставила инструкции о том, как обновить вручную черный список уязвимых драйверов, пока неясно, когда Microsoft сделает это автоматически посредством обновлений.