Microsoft'un güncel olmayan sürücü engelleme listesi, yaklaşık 3 yıl boyunca sizi kötü amaçlı yazılım saldırılarına maruz bıraktı

Microsoft tarafından önerilen sürücü engelleme kuralları sayfası, sürücü engelleme listesinin HVCI etkin aygıtlara "uygulandığını" belirtir.
Yine de burada HVCI etkin bir sistem var ve blok listesindeki (WinRing0) sürücülerden biri mutlu bir şekilde yüklendi.
Belgelere inanmıyorum.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy

- Will Dormann (@wdormann) Instagram Profilini Görüntüle Eylül 16, 2022

Microsoft, kullanıcıları için olası siber suç saldırılarına karşı daha iyi koruma vaat eden sürekli olarak yeni güvenlik ürünleri ve güncellemeler sunmaktadır. Ancak, beklenmedik bir olayda, web sitesi Ars Technica Windows PC'lerin aslında son üç yıldır kötü niyetli sürücülere karşı korumasız kaldığını söyleyen büyük bir vahiy ortaya çıkardı. savunmasız sürücü engelleme listesi ve verimsiz güvenlik koruma özellikleri.

Sürücüler, her bireyin Windows PC'sinin grafik kartları, yazıcılar, web kameraları ve daha fazlası gibi diğer aygıtlarla düzgün çalışması için gerekli dosyalardır. Bu, kurulduğunda, makinenizin işletim sistemine erişmelerini sağlayarak, kullanımlarının güvenli olduğundan emin olmak için içlerindeki dijital işaretleri önemli hale getirir. Bu aynı zamanda müşterilere, sürücülerde, kötü oyuncuların sisteme erişmesine neden olabilecek Windows cihazlarında güvenlik istismarına neden olabilecek güvenlik açıklarının bulunmadığına dair güvence verir.

Windows güncellemelerinin bir kısmı, diğer kullanıcıların gelecekte yanlışlıkla yüklemelerini önlemek için bu kötü amaçlı sürücüleri kendi engelleme listesine ekliyor. Microsoft'un bundan kaçınmak için bir koruma katmanı eklemek için kullandığı başka bir araç, hipervizör korumalı kod bütünlüğü (HVCI) adı verilen ve aynı zamanda Bellek Bütünlüğü olarak da adlandırılan bir özelliği kullanmaktır. bir kullanıcının sistemi. Son zamanlarda, Microsoft vurguladı Facebook post Bu özelliğin, Sanal Makine Platformu ile birlikte, koruma için varsayılan olarak etkinleştirildiğini. Şirket, kullanıcıların sistemin oyun performansını etkilediklerini doğruladıktan sonra devre dışı bırakma seçeneğine sahip olduklarını kaydetti (yine de Microsoft, oyun oynadıktan sonra tekrar açmaktan bahsetmişti). Ancak Ars Technica, HVCI özelliğinin kötü niyetli sürücülere karşı kendisinden beklenen tam korumayı sağlamadığını keşfettikten sonra bu önerilerin anlamsız olduğu ortaya çıktı.

Ars Technica'nın raporundan önce, siber güvenlik şirketi Analygence'ta güvenlik açığı uzmanı Will Dormann Paylaşılan kendi testinin sonucu, sorunun Eylül ayından bu yana kamuoyu tarafından bilindiğini gösteriyor. 

Dormann, "Microsoft tarafından önerilen sürücü engelleme kuralları sayfası, sürücü engelleme listesinin HVCI etkin aygıtlara 'uygulandığını' belirtiyor," diye tweet attı. “Yine de burada HVCI etkin bir sistem var ve blok listesindeki (WinRing0) sürücülerden biri mutlu bir şekilde yüklendi. Belgelere inanmıyorum.”

Dormann, tweet dizisinde, listenin 2019'dan beri güncellenmediğini de paylaştı; bu, kullanıcıların HVCI kullanmasına rağmen son yıllarda sorunlu sürücülerden korunmadığı ve onları "kendi savunmasız sürücünüzü getirin" veya BYOVD saldırılarına maruz bıraktığı anlamına geliyor. .

Dormann, "Microsoft Attack Surface Reduction (ASR) ayrıca sürücüleri engelleyebilir ve listeler HVCI tarafından zorunlu kılınan sürücü engelleme listesiyle senkronizedir" diye ekledi. "Ama... testlerimde hiçbir şeyi engellemiyor."

İlginç bir şekilde, sorun Eylül ayından beri bilinmesine rağmen, Microsoft bu Ekim'de yalnızca proje yöneticisi Jeffery Sutherland aracılığıyla ele aldı.

Sutherland, Dormann'ın tweet'ine “Çevrimiçi belgeleri güncelledik ve ikili sürümü doğrudan uygulamak için talimatlar içeren bir indirme ekledik” dedi. "Cihazların politika güncellemelerini almasını engelleyen servis sürecimizle ilgili sorunları da düzeltiyoruz."

Microsoft ayrıca geçtiğimiz günlerde bir şirket temsilcisi aracılığıyla kusuru Ars Technica'ya kabul etti. Sözcü web sitesine yaptığı açıklamada, "Korunmasız sürücü listesi düzenli olarak güncelleniyor, ancak işletim sistemi sürümleri arasında senkronizasyonda bir boşluk olduğu konusunda geri bildirim aldık" dedi. “Bunu düzelttik ve gelecek ve gelecekteki Windows Güncellemelerinde hizmet verilecek. Dokümantasyon sayfası, yeni güncellemeler yayınlandıkça güncellenecektir.”

Öte yandan, Microsoft zaten nasıl yapılacağına ilişkin talimatlar sağlamıştır. manuel olarak güncelle Güvenlik açığı bulunan sürücü engelleme listesi, güncellemeler aracılığıyla Microsoft tarafından ne zaman otomatik olarak yapılacağı henüz belli değil.