Microsoft неправилно е актуализирала черния списък с драйвери на Windows
Компания е оставила компютрите уязвими в продължение на години
В продължение на почти три години Microsoft неправилно е включвала компютри с Windows в черни списъци, което е довело до тяхната уязвимост. Според Ars Technica, въпреки че в черния списък редовно са добавяни нови драйвери, те не са били актуализирани, което е довело до все по-голяма тяхна уязвимост.
Поради този недостатък в сигурността компютрите на редица потребители бяха уязвими към определен вид атака - BYOVD. Като цяло драйверите са от съществено значение за взаимодействието на операционната система с външни устройства, които се свързват към компютъра, и с хардуерни компоненти, като например графични карти. Те имат достъп до ядрото на операционната система, а Microsoft изисква те да получат собствен електронен подпис, удостоверяващ сигурността на този софтуер. Ако обаче при всички проверки бъде пропусната уязвимост във вече подписан драйвер, нападателите могат да я използват за атака.
Така през август хакери инсталираха рансъмуер BlackByte благодарение на програма, използвана за овърклок на хардуера - MSI AfterBurner. Неотдавна други хакери използваха античийт драйвер за Genshin Impact, а севернокорейската група Lazarus извърши BYOVD атаки срещу редица големи геймъри по света.
Microsoft използва т.нар. защита на целостта на кода, защитена от хипервайзор (HVCI), която се очаква да предпазва от драйвери с уязвимости и е активирана по подразбиране в редица устройства с Windows. Въпреки това Ars Technica, с помощта на експерта по анализ Уил Дорман, успява да установи, че тази защита не осигурява необходимото ниво на сигурност.
Според Дорман той вече е успял да зареди потенциално зловреден драйвер на компютър с активиран HVCI, въпреки че компютърът е бил в черния списък на Microsoft. Нещо повече, оказа се, че списъкът не е бил актуализиран от 2019 г., а така наречената функция за намаляване на атаката (ASR) на Windows Defender също не успява да се справи със заплахата и компютрите на практика останаха беззащитни срещу този тип атаки в продължение на три години.
До началото на този месец Microsoft не е предприела действия за отстраняване на недостатъка или може би не е знаела за него. Засега компанията предлага проблемът да бъде отстранен ръчно. Подробна информация за отстраняване на неизправности и файлове за изтегляне са налични на нейния уебсайт. Компанията обещава, че в бъдещите актуализации на Windows ще се появи автоматична "поправка".
;void(0);){kind=link}
;void(0);){kind=link}
;void(0);){kind=link}
;void(0);){kind=link}
;void(0);){kind=link}
;void(0);){kind=link}
;void(0);){kind=link}
;void(0);){kind=link}
;void(0);){kind=link}
;void(0);){kind=link}
;void(0);){kind=link}
;void(0);){kind=link}
;void(0);){kind=link}