据Ars Technica报道,近三年以来,微软一直未能妥善保护Windows电脑免受恶意驱动程序的攻击。尽管微软表示,其Windows更新将新的恶意驱动程序添加到设备下载的屏蔽列表中,但Ars Technica发现,这些更新实际上从未被卡住。
这种覆盖范围的差距使用户容易受到一种称为BYOVD的特定类型的攻击,或者携带自己的易受攻击的驱动程序。驱动程序是计算机操作系统用来与外部设备和硬件(如打印机、显卡或网络摄像头)通信的文件。由于驱动程序可以访问设备操作系统的核心或内核,微软要求所有驱动程序都进行数字签名,以证明它们是安全使用的。但如果现有的数字签名驱动程序存在安全漏洞,黑客就可以利用这个漏洞直接访问Windows。
我们已经看到在野外发生了几起这样的袭击。今年8月,黑客在超频实用软件MSI AfterBurner的一个易受攻击的驱动程序上安装了BlackByte勒索软件。最近发生的另一起事件涉及网络犯罪分子利用游戏《Genshin Impact》反作弊驱动程序中的一个漏洞。2021年,朝鲜黑客组织“拉撒路”(Lazarus)对荷兰的一名航空航天业员工和比利时的一名政治记者发动了BYOVD攻击,但安全公司ESET直到上个月末才将其曝光。
正如Ars Technica所指出的,微软使用了一种被称为hypervisor保护代码完整性(HVCI)的东西,用来防止恶意驱动程序,该公司表示,在某些Windows设备上默认启用了该功能。然而,Ars Technica和网络安全公司analygent的高级漏洞分析师威尔·多曼都发现,这一功能并不能对恶意驱动程序提供足够的保护。
在9月份发布在Twitter上的一个帖子中,Dormann解释说,他能够成功地在一个启用了hvci的设备上下载恶意驱动程序,尽管该驱动程序在微软的屏蔽名单上。他后来发现,微软的封锁名单自2019年以来就没有更新过,而且微软的攻击面减少(ASR)能力也无法抵御恶意驱动程序。这意味着任何启用了HVCI的设备在大约三年的时间里都没有受到恶意驱动的保护。
微软直到本月早些时候才对多曼的调查结果做出回应。微软项目经理Jeffery Sutherland在回复Dormann的推文中说:“我们已经更新了在线文档,并添加了一个直接应用二进制版本的下载说明。”“我们也在解决服务过程中阻止设备接收政策更新的问题。”此后,微软提供了如何用丢失多年的易受攻击驱动程序手动更新封锁列表的说明,但目前仍不清楚微软何时开始通过Windows更新自动向列表添加新的驱动程序。
微软发言人在给Ars Technica的一份声明中表示:“漏洞驱动程序列表会定期更新,但我们收到的反馈是,不同操作系统版本之间的同步存在差距。”“我们已经纠正了这个问题,它将在即将到来的和未来的Windows更新中提供服务。文档页面将随着新更新的发布而更新。”微软没有立即回应The Verge的置评请求。
