За даними Ars Technica, Microsoft не змогла належним чином забезпечити захист ПК із Windows від проблемних драйверів, що залишало системи вразливими для атак майже 3 роки. Хоча такі драйвери додавалися до чорного списку, вони не блокувалися на рівні системи.
Ця проблема зробила системи користувачів уразливими для певного типу атак, які називають BYOVD (bring your own vulnerable driver). Оскільки драйвери можуть отримати доступ до ядра операційної системи пристрою, Microsoft вимагає, щоб усі драйвери мали цифровий підпис, що доводить їхню безпеку у використанні. Але якщо в чинному драйвері з цифровим підписом є вразливість у системі безпеки, хакери можуть скористатися цим і отримати прямий доступ до Windows. Такі атаки вже проводилися раніше. Наприклад, у серпні хакери впровадили програму-вимагач BlackByte у вразливий драйвер, який використовується утилітою для розгону MSI AfterBurner. Також кіберзлочинці змогли скористатися вразливістю в античіт-драйвері для гри Genshin Impact.
Для захисту від шкідливих драйверів Microsoft використовує технологію HVCI (hypervisor-protected code integrity), яка включена за замовчанням на деяких пристроях Windows. Однак, з’ясувалося, що ця функція не забезпечує адекватного захисту від шкідливих драйверів.
Старший аналітик з вразливостей у компанії Analygence Уілл Дорманн розповів у вересні, що йому вдалося успішно завантажити шкідливий драйвер на пристрій з підтримкою HVCI, дарма що цей драйвер був у чорному списку Microsoft. Пізніше він виявив, що чорний список Microsoft не оновлювався з 2019 року і можливості Microsoft ASR (attack surface reduction) також не захищали від шкідливих драйверів. Це означає, що протягом 3 років пристрої з активованою технологією HVCI фактично не були захищені від шкідливих драйверів.
Microsoft не вживала заходів щодо усунення цих проблем до початку жовтня – ймовірно, вона не знала про них. Тепер компанія оновила онлайн документацію, а також виправила «проблеми з процесом обслуговування, через які пристрої не могли отримувати оновлення політики». Додатково Microsoft надала інструкції, як вручну оновити чорний список вразливих драйверів. Надалі компанія має намір повернути автоматичний захист в одному з майбутніх оновлень.
«Список вразливих драйверів регулярно оновлюється, проте ми отримали відгуки про те, що існує розрив у синхронізації між версіями ОС», – заявив представник Microsoft. «Ми виправили це, і все буде виправлено у майбутніх оновленнях Windows. Сторінка документації оновлюватиметься у міру випуску нових оновлень».
Джерело: The Verge