微软过时的驱动程序列表使Windows PC多年来一直受到恶意软件进攻
根据Ars Technica的一份陈述,微软在近三年的时间里未能恰当庇护Windows PC免受歹意驱动法式的影响。虽然微软表达,其Windows更新在阻遏设备下载的列表中添加了新的歹意驱动法式,但Ars Technica发现,那些更新从未实正卡住。
那种笼盖范畴的差距利用户随便遭到称为BYOVD的某品种型的进攻,或者带来他们本身的易受进攻的驱动法式。驱动法式是计算机操做系统用来与外部设备和硬件(如打印机、图形卡或收集摄像头)通信的文件。因为驱动法式能够拜候设备操做系统或内核的核心,Microsoft要求所有驱动法式都颠末数字签名,以证明它们能够平安利用。但是,假设现有的数字签名驱动法式存在平安破绽,黑客能够操纵该破绽间接拜候Windows。
我们已经看到几次那种进攻是在野外停止的。本年8月,黑客在超频适用法式MSI Afterburner的一个易受进攻的驱动法式上安拆了BlackByte讹诈软件。比来的另一个事务涉及收集立功分子操纵游戏《实神冲击》的反做弊驱动法式中的破绽。2021年,朝鲜黑客组织拉扎勒斯(Lazarus)对荷兰的一名航空航天员工和比利时的一名政治记者策动了BYOVD进攻,但平安公司ESET上个月底才曝光。
正如Ars Technica指出的那样,微软利用了一种名为HVCI的治理法式庇护代码完全性(HVCI)的工具,它应该能够避免歹意驱动法式,该公司表达,歹意驱动法式在某些Windows设备上默认启用。然而,收集平安公司Analysis的高级破绽阐发师Ars Technica和Will Dorman都发现,该功用不克不及供给足够的庇护来抵御歹意驱动法式
感激所有的反应。我们更新了联机文档,并添加了一个带有间接利用二进造版本阐明的下载。我们还修复了在办事期间阻遏设备领受战略更新的问题。
在9月份推特上的一篇帖子中,Dorman阐明说,他可以胜利地在撑持HVCI的设备上下载歹意驱动法式,虽然该驱动法式在微软的黑名单上。他后来发现,微软的黑名单自2019年以来就没有更新过,微软的缩减进攻面(ASR)功用也无法抵御歹意驱动法式。那意味着任何启用HVCI的设备在大约三年内不受坏驱动法式的庇护。
微软曲到本月早些时候才对多曼的发现做出回应。微软项目司理杰弗里·萨瑟兰(Jeffery Sutherland)在回应多曼的推特时表达:“我们已经更新了在线文档,并添加了一个下载,此中包罗了间接利用二进造版本的阐明。”“我们还在修复办事过程中阻遏更新设备领受战略的问题。尔后,Microsoft供给了若何手动更新丧失多年的易受进攻驱动法式的阻遏列表的阐明,但尚不清晰Microsoft何时起头通过Windows更新主动向列表添加新驱动法式。
微软发言人在给Ars Technica的一份声明中说:“易受进攻的驱动法式列表按期更新,但我们收到的反应是,操做系统版本之间的同步存在差距。”“我们已经更正了此问题,并将期近将发布的和将来的Windows更新中供给办事。文档页将跟着新更新的发布而更新。Microsoft没有立即回应Verge的置评恳求。