Застарілий список заблокованих драйверів Microsoft наражав вас на атак шкідливих програм протягом приблизно 3 років

На сторінці правил блокування драйверів, рекомендованих корпорацією Майкрософт, зазначено, що список блокувань драйверів «застосовується до» пристроїв із підтримкою HVCI.
Але тут є система з підтримкою HVCI, і один із драйверів у списку блокувань (WinRing0) успішно завантажується.
Я не вірю документам.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy

- Уілл Дорманн (@wdormann) Вересень 16, 2022

Корпорація Майкрософт постійно пропонує нові продукти безпеки та оновлення, які обіцяють кращий захист для своїх користувачів від можливих атак кіберзлочинців. Однак за несподіваного повороту подій веб-сайт Ars Technica виявив величезне відкриття, заявивши, що ПК з Windows фактично залишалися незахищеними протягом останніх трьох років від шкідливих драйверів через застарілу версію список заблокованих вразливих драйверів і неефективні функції захисту безпеки.

Драйвери — це необхідні файли комп’ютера з ОС Windows для належної роботи з іншими пристроями, такими як відеокарти, принтери, веб-камери тощо. Після встановлення вони дають їм доступ до операційної системи вашого комп’ютера, що робить цифрові знаки в них важливими для безпечного використання. Це також дає клієнтам впевненість, що в драйверах немає дірок у безпеці, які можуть спричинити використання безпеки на пристроях Windows, що може надати зловмисникам доступ до системи.

Частина оновлень Windows полягає в додаванні шкідливих драйверів до власного списку блокувань, щоб запобігти випадковій інсталяції інших користувачів у майбутньому. Інший інструмент, який Microsoft використовує для додавання рівня захисту, щоб уникнути цього, полягає в застосуванні функції, яка називається цілісністю коду, захищеного гіпервізором (HVCI), також називається цілісністю пам’яті, яка гарантує, що встановлені драйвери безпечні, щоб запобігти зловмисникам від розміщення шкідливих кодів у система користувача. Нещодавно Microsoft підкреслила в a після що ця функція разом із платформою віртуальної машини ввімкнена за умовчанням для захисту. Компанія зазначила, що користувачі мають можливість вимкнути його після того, як переконаються, що вони впливають на ігрову продуктивність системи (хоча Microsoft також згадала, що вмикає його знову після гри). Однак ці пропозиції виявилися марними після того, як Ars Technica виявила, що функція HVCI насправді не забезпечує повного захисту від шкідливих драйверів.

До звіту Ars Technica експерт з питань уразливостей безпеки Вілл Дорманн з компанії з кібербезпеки Analygence загальні результат його власного тесту, який показує, що проблема була відома громадськості з вересня. 

«На сторінці правил блокування драйверів, рекомендованих Microsoft, зазначено, що список блокувань драйверів «застосовується до» пристроїв з підтримкою HVCI», — написав Дорманн у Twitter. «Однак тут є система з підтримкою HVCI, і один із драйверів у списку блокувань (WinRing0) успішно завантажується. Я не вірю документам».

У гілці твітів Дорманн також поділився, що список не оновлювався з 2019 року, а це означає, що користувачі були незахищені від проблемних драйверів протягом останніх років, незважаючи на використання HVCI, наражаючи їх на «виведення власного вразливого драйвера» або атак BYOVD. .

«Microsoft Attack Surface Reduction (ASR) також може блокувати драйвери, і списки синхронізуються зі списком блокувань драйверів, які застосовуються HVCI», — додав Дорманн. «За винятком… у моєму тестуванні це нічого не блокує».

Цікаво, що хоча проблема була відома з вересня, Microsoft звернулася до неї через керівника проекту Джеффрі Сазерленда лише цього жовтня.

«Ми оновили онлайн-документи та додали файл для завантаження з інструкціями щодо безпосереднього застосування бінарної версії», — відповів Сазерленд на твіт Дормана. «Ми також вирішуємо проблеми з нашим процесом обслуговування, через які пристрої не отримували оновлення політики».

Microsoft також нещодавно визнала недолік Ars Technica через представника компанії. «Список уразливих драйверів регулярно оновлюється, однак ми отримали відгук про розбіжність у синхронізації між версіями ОС», — сказав представник веб-сайту. «Ми виправили це, і це буде обслуговуватися в майбутніх і майбутніх оновленнях Windows. Сторінка документації буде оновлюватися в міру випуску нових оновлень».

З іншого боку, поки Microsoft вже надала інструкції, як це зробити оновлювати вручну список блокування вразливих драйверів, досі незрозуміло, коли це буде зроблено Microsoft автоматично через оновлення.