Microsoft некорректно обновляла чёрный список драйверов для Windows, годами оставляя компьютеры уязвимыми

Компания Microsoft почти около трёх лет некорректно защищала ПК под управлением ОС Windows от уязвимых драйверов. Как сообщает портал Ars Technica, хотя очередные драйверы добавлялись в чёрный список регулярно, фактически они не блокировались, из-за чего компьютеры становились всё более уязвимыми.

Microsoft некорректно обновляла чёрный список драйверов для Windows, годами оставляя компьютеры уязвимыми

Из-за подобного недочёта в защите компьютеры пользователей, в частности, были уязвимы для определённого типа атак — BYOVD. В целом драйверы жизненно необходимы для обеспечения взаимодействия операционной системы с внешними устройствами, подключаемыми к ПК, а также комплектующими вроде видеокарт — поскольку они имеют доступ к ядру операционной системы, Microsoft требует получения для них собственной электронной подписи, свидетельствующей о безопасности такого программного обеспечения. Тем не менее, если в уже подписанном драйвере все проверки упустили уязвимость, злоумышленники могут использовать его для атак.

Например, в августе хакеры устанавливали вымогательское ПО BlackByte благодаря утилите, использовавшейся для разгона железа — MSI AfterBurner. Не так давно хакеры использовали предназначенный против читеров драйвер для игры Genshin Impact, а северокорейская группа Lazarus организовала BYOVD-атаки на ряд значимых персон по всему миру.

Microsoft использует т.н. защиту целостности кода (Hypervisor-protected code integrity (HVCI)), которая, как ожидалось, должна была бы защищать от драйверов с уязвимостями, она по умолчанию активирована на ряде устройств с Windows. Тем не менее, представителям Ars Technica при содействии эксперта из компании Analygence Уилла Дорманна (Will Dormann) удалось выяснить, что такая защита не обеспечивает необходимый уровень безопасности.

По словам Дорманна, ему уже удавалось загрузить потенциально вредоносный драйвер на компьютер с активированной HVCI, хотя тот и находился в чёрном списке Microsoft. Более того, выяснилось, что список не обновлялся с 2019 года, а функция Защитника Windows — т.н. Attack surface reduction (ASR) тоже не помогла устранить угрозу, и компьютеры фактически оставались беззащитными от такого типа атак в течение трёх лет.

До начала этого месяца Microsoft не предпринимала мер по устранению недоработок, а, возможно, и не знала о них. Пока компания предлагает вручную устранять проблему — подробная информация по её устранению и материалы для загрузки имеются на её сайте. В компании обещают, что возможность автоматического «лечения» появится в будущих обновлениях Windows.

Источник

Метки записи: