Новини Софт 17.10.2022 о 14:06 comment views icon

Чорний список драйверів Microsoft оновлювався некоректно, через що ПК з Windows залишалися відкритими для шкідливих атак близько 3 років

author avatar
https://itc.ua/wp-content/uploads/2022/04/ad81c83e9fbf757ce8a90d0eb41dee5b-96x96.jpeg *** https://itc.ua/wp-content/uploads/2022/04/ad81c83e9fbf757ce8a90d0eb41dee5b-96x96.jpeg *** https://itc.ua/wp-content/uploads/2022/04/ad81c83e9fbf757ce8a90d0eb41dee5b-96x96.jpeg

Вадим Карпусь

Автор новин

За даними Ars Technica, Microsoft не змогла належним чином забезпечити захист ПК із Windows від проблемних драйверів, що залишало системи вразливими для атак майже 3 роки. Хоча такі драйвери додавалися до чорного списку, вони не блокувалися на рівні системи.

Ця проблема зробила системи користувачів уразливими для певного типу атак, які називають BYOVD (bring your own vulnerable driver). Оскільки драйвери можуть отримати доступ до ядра операційної системи пристрою, Microsoft вимагає, щоб усі драйвери мали цифровий підпис, що доводить їхню безпеку у використанні. Але якщо в чинному драйвері з цифровим підписом є вразливість у системі безпеки, хакери можуть скористатися цим і отримати прямий доступ до Windows. Такі атаки вже проводилися раніше. Наприклад, у серпні хакери впровадили програму-вимагач BlackByte у вразливий драйвер, який використовується утилітою для розгону MSI AfterBurner. Також кіберзлочинці змогли скористатися вразливістю в античіт-драйвері для гри Genshin Impact.

Для захисту від шкідливих драйверів Microsoft використовує технологію HVCI (hypervisor-protected code integrity), яка включена за замовчанням на деяких пристроях Windows. Однак, з’ясувалося, що ця функція не забезпечує адекватного захисту від шкідливих драйверів.

Старший аналітик з вразливостей у компанії Analygence Уілл Дорманн розповів у вересні, що йому вдалося успішно завантажити шкідливий драйвер на пристрій з підтримкою HVCI, дарма що цей драйвер був у чорному списку Microsoft. Пізніше він виявив, що чорний список Microsoft не оновлювався з 2019 року і можливості Microsoft ASR (attack surface reduction) також не захищали від шкідливих драйверів. Це означає, що протягом 3 років пристрої з активованою технологією HVCI фактично не були захищені від шкідливих драйверів.

Microsoft не вживала заходів щодо усунення цих проблем до початку жовтня – ймовірно, вона не знала про них. Тепер компанія оновила онлайн документацію, а також виправила «проблеми з процесом обслуговування, через які пристрої не могли отримувати оновлення політики». Додатково Microsoft надала інструкції, як вручну оновити чорний список вразливих драйверів. Надалі компанія має намір повернути автоматичний захист в одному з майбутніх оновлень.

«Список вразливих драйверів регулярно оновлюється, проте ми отримали відгуки про те, що існує розрив у синхронізації між версіями ОС», – заявив представник Microsoft. «Ми виправили це, і все буде виправлено у майбутніх оновленнях Windows. Сторінка документації оновлюватиметься у міру випуску нових оновлень».

Курс English For Tech course від Enlgish4IT.
Лише 7 тижнів по 20-30 хвилин щоденного навчання допоможуть вам подолати комунікативні бар'єри. Отримайте знижку 10% за промокодом ITCENG.
Дійзнайтеся більше

Джерело: The Verge

Триває конкурс авторів ІТС. Напиши статтю про розвиток ігор, геймінг та ігрові девайси та вигравай професійне ігрове кермо Logitech G923 Racing Wheel, або одну з низькопрофільних ігрових клавіатур Logitech G815 LIGHTSYNC RGB Mechanical Gaming Keyboard!


Loading comments...

Повідомити про помилку

Текст, який буде надіслано нашим редакторам: