微软过时的驱动程序黑名单让你在大约 3 年内遭受恶意软件攻击

Microsoft 推荐的驱动程序阻止规则页面声明驱动程序阻止列表“应用于”启用 HVCI 的设备。
然而，这里有一个启用 HVCI 的系统，并且阻止列表 (WinRing0) 中的一个驱动程序被愉快地加载了。
我不相信文档。https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy

-Will Dormann（@wdormann） 2022 年 9 月 16 日

Microsoft 不断提供新的安全产品和更新，承诺更好地保护其用户免受可能的网络犯罪攻击。 然而，在一个意想不到的转折中，该网站 Ars Technica的 发现了一个巨大的启示，称在过去三年中，由于过时的 Windows PC 实际上没有受到恶意驱动程序的保护 易受攻击的驱动程序阻止列表 和低效的安全保护功能。

驱动程序是每个人的 Windows PC 与其他设备（如显卡、打印机、网络摄像头等）正常工作的基本文件。 安装后，这使他们可以访问您机器的操作系统，从而使其中的数字标牌非常重要，以确保它们可以安全使用。 这也让客户保证驱动程序中不存在安全漏洞，这可能会导致 Windows 设备上的安全漏洞，从而可能使不良行为者访问系统。

Windows 更新的一部分是将这些恶意驱动程序添加到自己的阻止列表中，以防止其他用户将来意外安装它们。 微软用来添加一层保护以避免这种情况的另一个工具是使用称为管理程序保护的代码完整性 (HVCI) 的功能，也称为内存完整性，它确保安装的驱动程序是安全的，以防止不良行为者将恶意代码放入一个用户的系统。 近日，微软在一份声明中强调 发表 此功能与虚拟机平台一起默认启用以进行保护。 该公司指出，用户可以在确认它们影响系统的游戏性能后选择禁用它（尽管微软也提到在玩游戏后将其重新打开）。 然而，在 Ars Technica 发现 HVCI 功能实际上并未提供针对恶意驱动程序的全面保护后，这些建议变得毫无意义。

在 Ars Technica 报告之前，网络安全公司 Analygence 的安全漏洞专家 Will Dormann 共用的， 他自己的测试结果显示，这个问题自 XNUMX 月以来就已被公开。 

“微软推荐的驱动程序阻止规则页面指出，驱动程序阻止列表‘适用于’支持 HVCI 的设备，”Dormann 发推文说。 “然而，这里有一个支持 HVCI 的系统，并且阻止列表 (WinRing0) 中的一个驱动程序被愉快地加载了。 我不相信医生。”

在推文中，Dormann 还分享说，该列表自 2019 年以来一直没有更新，这意味着尽管使用 HVCI，用户在过去几年一直没有受到有问题的驱动程序的保护，使他们面临“自带易受攻击的驱动程序”或 BYOVD 攻击.

“Microsoft Attack Surface Reduction (ASR) 也可以阻止驱动程序，并且列表与 HVCI 强制驱动程序阻止列表同步，”Dormann 补充说。 “除了……在我的测试中它不会阻止任何东西。”

有趣的是，虽然这个问题从 XNUMX 月就已经知道了，但微软今年 XNUMX 月才通过项目经理 Jeffery Sutherland 解决了这个问题。

“我们已经更新了在线文档并添加了一个下载，其中包含直接应用二进制版本的说明，”Sutherland 回复了 Dormann 的推文。 “我们还在解决我们的服务过程中的问题，这些问题阻止了设备接收政策更新。”

微软最近还通过公司代表向 Ars Technica 承认了该漏洞。 “易受攻击的驱动程序列表会定期更新，但我们收到的反馈是，操作系统版本之间的同步存在差距，”发言人告诉该网站。 “我们已经纠正了这个问题，它将在即将到来的和未来的 Windows 更新中提供服务。 文档页面将随着新更新的发布而更新。”

另一方面，虽然微软已经提供了关于如何 手动更新 易受攻击的驱动程序阻止列表，目前尚不清楚微软何时会通过更新自动完成。