Zastaraný zoznam blokovaných ovládačov od spoločnosti Microsoft vás vystavoval útokom škodlivého softvéru na približne 3 roky

Na stránke pravidiel blokovania ovládačov odporúčaných spoločnosťou Microsoft sa uvádza, že zoznam blokovaných ovládačov sa „platí“ pre zariadenia s podporou HVCI.
Napriek tomu je tu systém s podporou HVCI a jeden z ovládačov v zozname blokovaných (WinRing0) je šťastne načítaný.
Neverím dokumentom.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy

- Will Dormann (@wdormann) September 16, 2022

Microsoft neustále ponúka nové bezpečnostné produkty a aktualizácie sľubujúce lepšiu ochranu svojich používateľov pred možnými útokmi kyberzločincov. Avšak, v neočakávanom zvrate udalostí, webové stránky Ars Technica odhalili obrovské odhalenie, hovoriac, že ​​počítače so systémom Windows boli posledné tri roky skutočne nechránené pred škodlivými ovládačmi z dôvodu zastaraných zoznam blokovaných zraniteľných ovládačov a neefektívne bezpečnostné ochranné prvky.

Ovládače sú základnými súbormi počítača so systémom Windows každého jednotlivca, aby správne fungovali s inými zariadeniami, ako sú grafické karty, tlačiarne, webové kamery a ďalšie. Po inštalácii im to umožní prístup k operačnému systému vášho počítača, vďaka čomu sú digitálne znaky v nich dôležité, aby sa zaistilo ich bezpečné používanie. Zákazníkom to tiež dáva istotu, že v ovládačoch nie sú prítomné žiadne bezpečnostné diery, čo môže spôsobiť zneužitie zabezpečenia na zariadeniach so systémom Windows, ktoré by mohlo poskytnúť zlým hráčom prístup k systému.

Súčasťou aktualizácií systému Windows je pridanie týchto škodlivých ovládačov do vlastného zoznamu blokovaných zariadení, aby sa zabránilo ich náhodnému nainštalovaniu iným používateľom v budúcnosti. Ďalším nástrojom, ktorý spoločnosť Microsoft používa na pridanie vrstvy ochrany, aby sa tomu zabránilo, je použitie funkcie nazývanej integrita kódu chránená hypervízorom (HVCI), ktorá sa tiež nazýva integrita pamäte, ktorá zaisťuje bezpečnosť nainštalovaných ovládačov a zabraňuje zlým aktérom vkladať do nich škodlivé kódy. užívateľský systém. Nedávno Microsoft zdôraznil v a zverejniť že táto funkcia je spolu s platformou virtuálnych strojov štandardne povolená z dôvodu ochrany. Spoločnosť poznamenala, že používatelia majú možnosť ho zakázať po overení, že ovplyvňujú herný výkon systému (hoci Microsoft tiež spomenul jeho opätovné zapnutie po hraní hier). Tieto návrhy sa však ukázali ako zbytočné, keď Ars Technica zistila, že funkcia HVCI v skutočnosti neposkytuje úplnú ochranu, ktorá sa od nej očakáva pred škodlivými ovládačmi.

Pred správou Ars Technica expert na bezpečnostné zraniteľnosti Will Dormann zo spoločnosti Analygence pre kybernetickú bezpečnosť zdieľanej výsledok jeho vlastného testu, ktorý ukazuje problém, je verejne známy od septembra. 

„Na stránke pravidiel blokovania ovládačov odporúčaných spoločnosťou Microsoft sa uvádza, že zoznam blokovaných ovládačov sa ‚aplikuje na‘ zariadenia s podporou HVCI,“ napísal Dormann na Twitteri. „Napriek tomu je tu systém s podporou HVCI a jeden z ovládačov v zozname blokovaných (WinRing0) je šťastne načítaný. Neverím dokumentom."

Vo vlákne tweetov Dormann tiež zdieľal, že zoznam nebol aktualizovaný od roku 2019, čo znamená, že používatelia boli v posledných rokoch nechránení pred problematickými ovládačmi napriek tomu, že používali HVCI, čo ich vystavilo „prines si vlastný zraniteľný ovládač“ alebo útokom BYOVD. .

"Microsoft Attack Surface Reduction (ASR) môže tiež blokovať ovládače a zoznamy sú synchronizované so zoznamom blokovaných ovládačov vynúteným HVCI," dodal Dormann. "Okrem... pri mojom testovaní to nič neblokuje."

Zaujímavosťou je, že hoci je problém známy už od septembra, Microsoft ho riešil prostredníctvom projektového manažéra Jefferyho Sutherlanda až tento október.

"Aktualizovali sme online dokumenty a pridali sme stiahnutie s pokynmi na priame použitie binárnej verzie," odpovedal Sutherland na Dormannov tweet. „Riešime aj problémy s naším servisným procesom, ktorý bránil zariadeniam v prijímaní aktualizácií pravidiel.“

Microsoft tiež nedávno priznal chybu spoločnosti Ars Technica prostredníctvom zástupcu spoločnosti. „Zoznam zraniteľných ovládačov sa pravidelne aktualizuje, dostali sme však spätnú väzbu, že existuje medzera v synchronizácii medzi verziami OS,“ uviedol hovorca pre web. „Toto sme opravili a bude to opravené v nadchádzajúcich a budúcich aktualizáciách systému Windows. Stránka dokumentácie bude aktualizovaná po vydaní nových aktualizácií.“

Na druhej strane, zatiaľ čo Microsoft už poskytol návod, ako na to manuálna aktualizácia zoznam blokovaných ovládačov, stále nie je jasné, kedy to spoločnosť Microsoft automaticky vykoná prostredníctvom aktualizácií.