По данным Ars Technica, Microsoft не смогла должным образом обеспечить защиту ПК с Windows от проблемных драйверов, что оставляло системы уязвимыми для атак почти 3 года. Хотя такие драйверы добавлялись в чёрный список, они не блокировались на уровне системы.
Эта проблема сделала системы пользователей уязвимыми для определенного типа атак, называемых BYOVD (bring your own vulnerable driver). Поскольку драйверы могут получить доступ к ядру операционной системы устройства, Microsoft требует, чтобы все драйверы имели цифровую подпись, что доказывает их безопасность в использовании. Но если в существующем драйвере с цифровой подписью есть брешь в системе безопасности, хакеры могут воспользоваться этим и получить прямой доступ к Windows. Подобные атаки уже проводились ранее. Например, в августе хакеры внедрили программу-вымогатель BlackByte в уязвимый драйвер, используемый утилитой для разгона MSI AfterBurner. Также киберпреступники смогли воспользоваться уязвимостью в античит-драйвере для игры Genshin Impact.
Для защиты от вредоносных драйверов Microsoft использует технологию HVCI (hypervisor-protected code integrity), которая включена по умолчанию на некоторых устройствах Windows. Однако выяснилось, что эта функция не обеспечивает адекватной защиты от вредоносных драйверов.
Старший аналитик по уязвимостям в компании Analygence Уилл Дорманн рассказал в сентябре, что ему удалось успешно загрузить вредоносный драйвер на устройство с поддержкой HVCI, несмотря на то, что этот драйвер был в черном списке Microsoft. Позже он обнаружил, что черный список Microsoft не обновлялся с 2019 года и что возможности Microsoft ASR (attack surface reduction) также не защищали от вредоносных драйверов. Это означает, что на протяжении 3 лет устройства с активированной технологией HVCI фактически не были защищены от вредоносных драйверов.
Microsoft не предпринимала мер по устранению этих проблем до начала октября – вероятно, она не знала о них. Теперь компания обновила онлайн документацию, а также исправила «проблемы с процессом обслуживания, из-за которого устройства не могли получать обновления политики». Дополнительно Microsoft предоставила инструкции, как вручную обновить чёрный список уязвимых драйверов. В дальнейшем компания намерена вернуть автоматическую защиту в одном из будущих обновлений.
«Список уязвимых драйверов регулярно обновляется, однако мы получили отзывы о том, что существует разрыв в синхронизации между версиями ОС», — заявил представитель Microsoft. «Мы исправили это, и всё будет исправлено в будущих обновлениях Windows. Страница документации будет обновляться по мере выпуска новых обновлений».
Источник: The Verge