据Ars Technica的一份 告称,近三年来,微软未能妥善保护Windows PC免受恶意驱动程序的攻击。尽管微软表示其Windows更新会将新的恶意驱动程序添加到设备下载的黑名单中,但Ars Technica发现这些更新实际上从未停滞。
这种覆盖范围的差距让用户容易受到某种类型的攻击,称为BYOVD,或带来您自己的易受攻击的驱动程序。驱动程序是计算机操作系统用于与外部设备和硬件(如打印机、图形卡或 络摄像头)通信的文件。由于驱动程序可以访问设备操作系统的核心或内核,Microsoft要求所有驱动程序都经过数字签名,以证明它们是安全的。但如果现有的数字签名驱动程序存在安全漏洞,黑客可以利用此漏洞直接访问Windows。
正如Ars Technica所指出的那样,Microsoft使用了一种称为hypervisor保护代码完整性(HVCI)的东西,它应该可以防止恶意驱动程序,该公司表示,在某些Windows设备上默认启用了该功能。然而,Ars Technica和 络安全公司Analygence的高级漏洞分析师Will Dormann都发现,该功能不能充分保护恶意驱动程序。
在9月份发布到推特的帖子中,Dormann解释说,他能够在支持HVCI的设备上成功下载恶意驱动程序,尽管该驱动程序位于微软的黑名单上。他后来发现,自2019年以来,微软的黑名单一直没有更新,而且微软的攻击面减少(ASR)功能也无法抵御恶意驱动程序。这意味着任何启用了HVCI的设备在大约三年内都没有受到不良驱动程序的保护。
直到本月早些时候,微软才对Dormann的调查结果发表意见。微软项目经理杰弗里·萨瑟兰(Jeffery Sutherland)在回复多尔曼(Dormann)的推文时说:“我们已经更新了在线文档,并添加了下载说明,以直接应用二进制版本。”。“我们还正在修复服务过程中阻止设备接收策略更新的问题。”此后,Microsoft提供了如何使用多年来一直缺失的易受攻击的驱动程序手动更新阻止列表的说明,但尚不清楚Microsoft何时会开始通过Windows更新将新驱动程序自动添加到列表中。
“易受攻击的驱动程序列表定期更新,但我们收到反馈,不同操作系统版本之间的同步存在差距,”微软发言人在对Ars Technica的声明中表示。“我们已经纠正了这个问题,它将在即将到来的和未来的Windows更新中提供服务。文档页面将随着新更新的发布而更新。”Microsoft没有立即回应The Verge的评论请求。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!