当前位置: 软件志 >资讯 > 微软的驱动程序阻止列表机制可能使你暴露在恶意软件攻击之下

微软的驱动程序阻止列表机制可能使你暴露在恶意软件攻击之下

更新时间:2022-10-18 09:38:02    浏览次数:119+次

微软不断提供新的安全产品和更新,承诺更好地保护其用户免受可能的网络犯罪攻击。然而,在一个意想不到的情况下,网站Ars Technica有了一个巨大的发现:由于过时的脆弱的驱动程序阻止列表和低效的安全保护功能,Windows PC在过去三年里实际上没有恶意驱动程序保护功能,也就是说电脑处于裸奔的状态。

https://arstechnica.com/information-technology/2022/10/how-a-microsoft-blunder-opened-millions-of-pcs-to-potent-malware-attacks/

微软的驱动程序阻止列表机制可能使你暴露在恶意软件攻击之下图片

驱动程序是每台Windows PC的基本文件,为了使设备正常工作,如显卡、打印机、网络摄像头等,安装驱动就成了必备的操作,而驱动中的数字标志对确保它们的安全使用非常重要。这也为客户提供了保证,即认证后的驱动中没有安全漏洞,而安全漏洞可能会导致Windows设备的安全隐患,有可能让坏蛋进入系统。

Windows更新的一部分是将那些恶意的驱动程序添加到自己的阻止列表中,以防止其他用户将来意外地安装它们。微软正在使用的另一个工具是增加一层保护,以避免这种情况的发生,它是通过使用一种叫做管理程序保护的代码完整性(HVCI)的功能,也叫内存完整性,它确保安装的驱动程序是安全的,以防止不良分子将恶意代码放入用户的系统。最近,微软在一篇文章中强调,这项功能与虚拟机平台一起,默认启用保护。该公司指出,用户在核实影响系统的游戏性能后,可以选择禁用它(尽管微软也提到在玩游戏后将其重新打开)。然而,在Ars Technica发现HVCI功能实际上并没有提供预期的对恶意驱动的全面保护之后,这些建议变成了毫无意义。

在Ars Technica的报告之前,网络安全公司Analygence的安全漏洞专家Will Dormann分享了他自己的测试结果,显示这个问题自9月以来就已经被公众所知。

https://twitter.com/wdormann/status/1570801410681470985?s=20&t=YNPGiCe09Zp-KtGI7M8HlQ

Dormann在推特上写道:”微软推荐的驱动屏蔽规则页面指出,驱动屏蔽列表’适用于’支持HVCI的设备,”。”然而,这里是一个启用了HVCI的系统,阻止列表中的一个驱动程序(WinRing0)被愉快地加载。我不相信这些文件。”

在推文的主线中,Dormann还分享了该列表自2019年以来一直没有更新,这意味着用户在过去几年中尽管使用了HVCI,但一直没有受到问题驱动的保护,使他们暴露在 “自带脆弱驱动 “或BYOVD攻击之下。

“微软攻击面减少(ASR)也可以阻止驱动程序,而且名单与HVCI强制执行的驱动程序阻止列表是同步的,”Dormann补充说。”除了……在我的测试中,它没有阻止任何东西。”

有趣的是,尽管这个问题自9月以来就被人所知,但微软只是在今年10月通过项目经理Jeffery Sutherland解决了这个问题。