根据Ars Technica的一份报告,微软在近三年的时间里未能适当保护Windows PC免受恶意驱动程序的影响。尽管微软表示,其Windows更新在阻止设备下载的列表中添加了新的恶意驱动程序,但Ars Technica发现,这些更新从未真正卡住。
这种覆盖范围的差距使用户容易受到称为BYOVD的某种类型的攻击,或者带来他们自己的易受攻击的驱动程序。驱动程序是计算机操作系统用来与外部设备和硬件(如打印机、图形卡或网络摄像头)通信的文件。由于驱动程序可以访问设备操作系统或内核的核心,Microsoft要求所有驱动程序都经过数字签名,以证明它们可以安全使用。但是,如果现有的数字签名驱动程序存在安全漏洞,黑客可以利用该漏洞直接访问Windows。
我们已经看到几次这种攻击是在野外进行的。今年8月,黑客在超频实用程序MSI Afterburner的一个易受攻击的驱动程序上安装了BlackByte勒索软件。最近的另一个事件涉及网络犯罪分子利用游戏《真神冲击》的反作弊驱动程序中的漏洞。2021年,朝鲜黑客组织拉扎勒斯(Lazarus)对荷兰的一名航空航天员工和比利时的一名政治记者发动了BYOVD攻击,但安全公司ESET上个月底才曝光。
正如Ars Technica指出的那样,微软使用了一种名为HVCI的管理程序保护代码完整性(HVCI)的东西,它应该可以防止恶意驱动程序,该公司表示,恶意驱动程序在某些Windows设备上默认启用。然而,网络安全公司Analysis的高级漏洞分析师Ars Technica和Will Dorman都发现,该功能不能提供足够的保护来抵御恶意驱动程序
.
感谢所有的反馈。我们更新了联机文档,并添加了一个带有直接应用二进制版本说明的下载。我们还修复了在服务期间阻止设备接收策略更新的问题。
在9月份推特上的一篇帖子中,Dorman解释说,他能够成功地在支持HVCI的设备上下载恶意驱动程序,尽管该驱动程序在微软的黑名单上。他后来发现,微软的黑名单自2019年以来就没有更新过,微软的缩减攻击面(ASR)功能也无法抵御恶意驱动程序。这意味着任何启用HVCI的设备在大约三年内不受坏驱动程序的保护。
微软直到本月早些时候才对多曼的发现做出回应。微软项目经理杰弗里·萨瑟兰(Jeffery Sutherland)在回应多曼的推特时表示:“我们已经更新了在线文档,并添加了一个下载,其中包含了直接应用二进制版本的说明。”“我们还在修复服务过程中阻止更新设备接收策略的问题。此后,Microsoft提供了如何手动更新丢失多年的易受攻击驱动程序的阻止列表的说明,但尚不清楚Microsoft何时开始通过Windows更新自动向列表添加新驱动程序。
微软发言人在给Ars Technica的一份声明中说:“易受攻击的驱动程序列表定期更新,但我们收到的反馈是,操作系统版本之间的同步存在差距。”“我们已经更正了此问题,并将在即将发布的和未来的Windows更新中提供服务。文档页将随着新更新的发布而更新。Microsoft没有立即回应Verge的置评请求。
,
