微软似乎终于解决了一个可能使Windows用户面临各种 络攻击风险的问题。
一种称为“自带易受攻击的驱动程序”的 络攻击方法,简称BYOVD。它围绕着攻击者在目标端点上安装较旧的合法软件驱动程序,这些驱动程序以携带漏洞而闻名。(在新选项卡中打开).安装合法驱动程序不会触发任何防病毒软件(在新选项卡中打开)警 ,但会为攻击者打开后门,以提供更危险的有效载荷。
然而,研究人员对该公司如何解决这个问题并不满意,因为微软似乎只为需要持续支持的问题创建了一次性解决方案。
无更新
在过去的几个月里,BYOVD攻击的数量显着增加,促使Ars Technica的研究人员调查微软的问题解决方案(它称之为“安全核心”PC)是否按预期工作。就在那时,他们意识到该列表在很长一段时间内都没有更新。
“但是,当我 道上面提到的朝鲜袭击事件时,我想确保这个大力推广的驱动程序阻止功能在我的Windows 10机器上宣传的那样工作,”Ars Technica的Dan Godin写道。“是的,我在 Windows 安全中心>设备安全>核心隔离中打开了内存完整性,但我没有看到任何证据表明禁止的驱动程序列表会定期更新。
微软认为最初的发现是无关紧要的,但随着其他研究人员的加入,它后来改变了立场,称它正在“修复我们的服务过程的问题,这些问题阻止了设备接收到政策的更新,”Godin补充道。
“易受攻击的驱动程序列表会定期更新,但是我们收到的反馈是,操作系统版本之间的同步存在差距,”微软被引述说。“我们已经纠正了这一点,它将在即将到来的和未来的Windows更新中提供服务。文档页面将随着新更新的发布而更新。
虽然微软声称它通过不断更新的驱动程序阻止列表解决了这个问题,但研究人员发现该公司大约三年没有更新该列表。换句话说,在过去24 – 36个月内发现的任何易受攻击的驱动程序都没有添加到此阻止列表中,威胁参与者可以使用它们来拔掉已经堵塞的安全漏洞。
此后,微软发布了一项新工具,允许Windows 10用户部署待定三年的黑名单更新。“但这是一个一次性的更新过程;目前尚不清楚微软是否能够或将自动更新通过Windows更新推送到驱动程序黑名单,“Godin总结道。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!