รายการบล็อกไดรเวอร์ที่ล้าสมัยของ Microsoft ทำให้คุณถูกโจมตีจากมัลแวร์เป็นเวลาประมาณ 3 ปี

หน้ากฎการบล็อกไดรเวอร์ที่แนะนำของ Microsoft ระบุว่ารายการบล็อกไดรเวอร์ "ถูกนำไปใช้กับ" อุปกรณ์ที่เปิดใช้งาน HVCI
แต่นี่คือระบบที่เปิดใช้งาน HVCI และหนึ่งในไดรเวอร์ในรายการบล็อก (WinRing0) ได้รับการโหลดอย่างมีความสุข
ฉันไม่เชื่อเอกสารhttps://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy

- Will Dormann (@wdormann) September 16, 2022

Microsoft นำเสนอผลิตภัณฑ์ความปลอดภัยใหม่ๆ และการอัปเดตอย่างต่อเนื่อง ซึ่งให้การปกป้องผู้ใช้ที่ดีขึ้นจากการโจมตีของอาชญากรไซเบอร์ อย่างไรก็ตาม ในเหตุการณ์ที่ไม่คาดฝัน เว็บไซต์ Ars Technica เปิดเผยการเปิดเผยครั้งใหญ่ โดยกล่าวว่าพีซีที่ใช้ Windows ไม่ได้รับการปกป้องจริง ๆ ในช่วงสามปีที่ผ่านมาจากไดรเวอร์ที่เป็นอันตรายเนื่องจากล้าสมัย รายการบล็อกไดรเวอร์ที่มีช่องโหว่ และคุณสมบัติการป้องกันความปลอดภัยที่ไม่มีประสิทธิภาพ

ไดรเวอร์คือไฟล์ที่จำเป็นสำหรับพีซีที่ใช้ Windows ทุกเครื่องเพื่อให้ทำงานได้อย่างถูกต้องกับอุปกรณ์อื่นๆ เช่น การ์ดกราฟิก เครื่องพิมพ์ เว็บแคม และอื่นๆ เมื่อติดตั้งแล้ว จะช่วยให้เข้าถึงระบบปฏิบัติการของเครื่องได้ ทำให้สัญญาณดิจิทัลมีความสำคัญเพื่อให้แน่ใจว่าใช้งานได้อย่างปลอดภัย นอกจากนี้ยังช่วยให้ลูกค้ามั่นใจได้ว่าไม่มีช่องโหว่ด้านความปลอดภัยภายในไดรเวอร์ ซึ่งอาจทำให้เกิดการเจาะระบบความปลอดภัยบนอุปกรณ์ Windows ที่อาจให้ผู้ไม่หวังดีเข้าถึงระบบได้

ส่วนหนึ่งของการอัปเดต Windows คือการเพิ่มไดรเวอร์ที่เป็นอันตรายเหล่านั้นลงในรายการบล็อกของตัวเอง เพื่อป้องกันไม่ให้ผู้ใช้รายอื่นติดตั้งไดรเวอร์เหล่านี้โดยไม่ได้ตั้งใจในอนาคต เครื่องมืออื่นที่ Microsoft ใช้เพื่อเพิ่มชั้นการป้องกันเพื่อหลีกเลี่ยงการใช้คุณลักษณะที่เรียกว่า hypervisor-protected code integrity (HVCI) หรือที่เรียกว่า Memory Integrity ซึ่งช่วยให้มั่นใจว่าไดรเวอร์ที่ติดตั้งมีความปลอดภัยเพื่อป้องกันไม่ให้ผู้ไม่หวังดีใส่โค้ดที่เป็นอันตรายลงใน ระบบของผู้ใช้ เมื่อเร็ว ๆ นี้ Microsoft เน้นใน a เสา ที่คุณลักษณะนี้ ร่วมกับแพลตฟอร์มเครื่องเสมือน เปิดใช้งานโดยค่าเริ่มต้นสำหรับการป้องกัน บริษัท ตั้งข้อสังเกตว่าผู้ใช้มีตัวเลือกในการปิดการใช้งานหลังจากตรวจสอบว่ามีผลกระทบต่อประสิทธิภาพของเกมของระบบ (แม้ว่า Microsoft ยังกล่าวถึงการเปิดใช้งานอีกครั้งหลังจากเล่นเกม) อย่างไรก็ตาม คำแนะนำเหล่านี้ไม่มีประโยชน์หลังจาก Ars Technica ค้นพบว่าฟีเจอร์ HVCI ไม่ได้ให้การปกป้องเต็มรูปแบบตามที่คาดไว้จากไดรเวอร์ที่เป็นอันตราย

ก่อนหน้ารายงานของ Ars Technica ผู้เชี่ยวชาญด้านช่องโหว่ด้านความปลอดภัย Will Dormann จากบริษัทความปลอดภัยทางไซเบอร์ Analygence ที่ใช้ร่วมกัน ผลการทดสอบของเขาเอง ซึ่งแสดงให้เห็นว่าปัญหาดังกล่าวเป็นที่รู้จักต่อสาธารณชนตั้งแต่เดือนกันยายน 

“หน้ากฎการบล็อกไดรเวอร์ที่แนะนำของ Microsoft ระบุว่ารายการบล็อกไดรเวอร์ 'ถูกนำไปใช้กับ' อุปกรณ์ที่เปิดใช้งาน HVCI” Dormann ทวีต “แต่นี่คือระบบที่เปิดใช้งาน HVCI และหนึ่งในไดรเวอร์ในรายการบล็อก (WinRing0) ได้รับการโหลดอย่างมีความสุข ฉันไม่เชื่อเอกสาร”

ในกระทู้ทวีต Dormann ยังแชร์ด้วยว่ารายการไม่ได้รับการอัปเดตตั้งแต่ปี 2019 ซึ่งหมายความว่าผู้ใช้ไม่ได้รับการปกป้องจากไดรเวอร์ที่มีปัญหาในช่วงหลายปีที่ผ่านมาแม้จะใช้ HVCI ทำให้พวกเขา "นำไดรเวอร์ที่มีช่องโหว่มาเอง" หรือการโจมตี BYOVD .

“Microsoft Attack Surface Reduction (ASR) ยังสามารถบล็อกไดรเวอร์และรายการจะซิงค์กับรายการบล็อกไดรเวอร์ที่บังคับใช้ HVCI” Dormann กล่าวเสริม “ยกเว้น… ในการทดสอบของฉัน มันไม่ได้บล็อกอะไรเลย”

ที่น่าสนใจ ถึงแม้ว่าปัญหานี้จะเป็นที่รู้จักตั้งแต่เดือนกันยายน แต่ Microsoft ได้กล่าวถึงเรื่องนี้ผ่านผู้จัดการโครงการ Jeffery Sutherland ในเดือนตุลาคมนี้เท่านั้น

“เราได้อัปเดตเอกสารออนไลน์และเพิ่มการดาวน์โหลดพร้อมคำแนะนำในการใช้เวอร์ชันไบนารีโดยตรง” Sutherland ตอบกลับทวีตของ Dormann “เรากำลังแก้ไขปัญหาเกี่ยวกับกระบวนการให้บริการซึ่งทำให้อุปกรณ์ไม่ได้รับการอัปเดตนโยบาย”

Microsoft ยังยอมรับข้อบกพร่องของ Ars Technica เมื่อเร็ว ๆ นี้ผ่านตัวแทนของบริษัท "รายชื่อไดรเวอร์ที่มีช่องโหว่ได้รับการอัปเดตเป็นประจำ อย่างไรก็ตาม เราได้รับข้อเสนอแนะว่ามีช่องว่างในการซิงโครไนซ์ข้ามเวอร์ชันของระบบปฏิบัติการ" โฆษกกล่าวกับเว็บไซต์ “เราได้แก้ไขปัญหานี้แล้ว และจะให้บริการใน Windows Updates ที่กำลังจะมีขึ้นและในอนาคต หน้าเอกสารจะได้รับการอัปเดตเมื่อมีการอัพเดทใหม่”

ในทางกลับกัน ในขณะที่ Microsoft ได้ให้คำแนะนำเกี่ยวกับวิธีการ อัปเดตด้วยตนเอง รายการบล็อกไดรเวอร์ที่มีช่องโหว่ ยังไม่ชัดเจนว่า Microsoft จะดำเนินการโดยอัตโนมัติผ่านการอัปเดตเมื่อใด