微軟過時的驅動程序黑名單讓你在大約 3 年內遭受惡意軟件攻擊

Microsoft 推薦的驅動程序阻止規則頁面聲明驅動程序阻止列表“應用於”啟用 HVCI 的設備。
然而，這裡有一個啟用 HVCI 的系統，並且阻止列表 (WinRing0) 中的一個驅動程序被愉快地加載了。
我不相信文檔。https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy

-Will Dormann（@wdormann） 2022 年 9 月 16 日

Microsoft 不斷提供新的安全產品和更新，承諾更好地保護其用戶免受可能的網絡犯罪攻擊。 然而，在一個意想不到的轉折中，該網站 Ars Technica的 發現了一個巨大的啟示，稱在過去三年中，由於過時的 Windows PC 實際上沒有受到惡意驅動程序的保護 易受攻擊的驅動程序阻止列表 和低效的安全保護功能。

驅動程序是每個人的 Windows PC 與其他設備（如顯卡、打印機、網絡攝像頭等）正常工作的基本文件。 安裝後，這使他們可以訪問您機器的操作系統，從而使其中的數字標牌非常重要，以確保它們可以安全使用。 這也讓客戶保證驅動程序中不存在安全漏洞，這可能會導致 Windows 設備上的安全漏洞，從而可能使不良行為者訪問系統。

Windows 更新的一部分是將這些惡意驅動程序添加到自己的阻止列表中，以防止其他用戶將來意外安裝它們。 微軟用來添加一層保護以避免這種情況的另一個工具是使用稱為管理程序保護的代碼完整性 (HVCI) 的功能，也稱為內存完整性，它確保安裝的驅動程序是安全的，以防止不良行為者將惡意代碼放入一個用戶的系統。 近日，微軟在一份聲明中強調 發表 此功能與虛擬機平台一起默認啟用以進行保護。 該公司指出，用戶可以在確認它們影響系統的遊戲性能後選擇禁用它（儘管微軟也提到在玩遊戲後將其重新打開）。 然而，在 Ars Technica 發現 HVCI 功能實際上並未提供針對惡意驅動程序的全面保護後，這些建議變得毫無意義。

在 Ars Technica 報告之前，網絡安全公司 Analygence 的安全漏洞專家 Will Dormann 共享 他自己的測試結果顯示，這個問題自 XNUMX 月以來就已被公開。 

“微軟推薦的驅動程序阻止規則頁面指出，驅動程序阻止列表‘適用於’支持 HVCI 的設備，”Dormann 發推文說。 “然而，這裡有一個支持 HVCI 的系統，並且阻止列表 (WinRing0) 中的一個驅動程序被愉快地加載了。 我不相信醫生。”

在推文中，Dormann 還分享說，該列表自 2019 年以來一直沒有更新，這意味著儘管使用 HVCI，用戶在過去幾年一直沒有受到有問題的驅動程序的保護，使他們面臨“自帶易受攻擊的驅動程序”或 BYOVD 攻擊.

“Microsoft Attack Surface Reduction (ASR) 也可以阻止驅動程序，並且列表與 HVCI 強制驅動程序阻止列表同步，”Dormann 補充說。 “除了……在我的測試中它不會阻止任何東西。”

有趣的是，雖然這個問題從 XNUMX 月就已經知道了，但微軟今年 XNUMX 月才通過項目經理 Jeffery Sutherland 解決了這個問題。

“我們已經更新了在線文檔並添加了一個下載，其中包含直接應用二進製版本的說明，”Sutherland 回復了 Dormann 的推文。 “我們還在解決我們的服務過程中的問題，這些問題阻止了設備接收政策更新。”

微軟最近還通過公司代表向 Ars Technica 承認了該漏洞。 “易受攻擊的驅動程序列表會定期更新，但我們收到的反饋是，操作系統版本之間的同步存在差距，”發言人告訴該網站。 “我們已經糾正了這個問題，它將在即將到來的和未來的 Windows 更新中提供服務。 文檔頁面將隨著新更新的發布而更新。”

另一方面，雖然微軟已經提供了關於如何 手動更新 易受攻擊的驅動程序阻止列表，目前尚不清楚微軟何時會通過更新自動完成。