援引 Ars Technica 报道,微软近三年来始终无法正确保护 Windows PC 免受恶意驱动程序的侵害。尽管微软表示其 Windows Update 根据设备的不同将新的恶意驱动程序添加到已下载的阻止列表中,但这些列表并未奏效。
由于设备方面的差距让用户非常容易受到“带上自己脆弱的驱动”(bring your own vulnerable driver,BYOVD)攻击。
驱动程序是计算机操作系统用来与外部设备和硬件(例如打印机、显卡或网络摄像头)通信的文件。由于驱动程序可以访问设备操作系统或内核的核心,因此微软要求所有驱动程序都经过数字签名,以证明它们可以安全使用。但是,如果现有的数字签名驱动程序存在安全漏洞,黑客可以利用此漏洞直接访问。
目前已经有证据表明黑客利用这种方式发起攻击。8 月,黑客对用于超频的实用程序 MSIAfterBurner 下手,在这个存在缺陷的驱动程序上安装了 BlackByte 勒索软件。近期另一件此类事件是网络犯罪分子利用游戏 Genshin Impact 的反作弊驱动程序中的漏洞。
朝鲜黑客组织 Lazarus 于 2021 年对荷兰的一名航空航天雇员和比利时的一名政治记者发动了 BYOVD 攻击,但安全公司 ESET 直到上个月底才曝光。
正如 Ars Technica 所指出的,微软使用了一种称为虚拟机管理程序保护代码完整性 (HVCI) 的东西,它应该可以防止恶意驱动程序,该公司表示,某些 Windows设备默认启用该驱动程序。
然而,Ars Technica 和网络安全公司 Analygence 的高级漏洞分析师 Will Dormann 都发现,此功能无法为恶意驱动程序提供足够的保护。
在 9 月发布到 Twitter 的帖子中,Dormann 解释说,他能够在支持 HVCI 的设备上成功下载恶意驱动程序,即使该驱动程序在微软的阻止列表中。
他后来发现,微软的黑名单自 2019 年以来就没有更新过,而且微软的攻击面减少 (ASR) 功能也无法抵御恶意驱动程序。这意味着任何启用了 HVCI 的设备在大约三年内都没有受到不良驱动程序的保护。
微软于本月初修复了这个问题。微软项目经理 Jeffery Sutherland 在回复 Dormann 的推文时说:“我们已经更新了在线文档并添加了一个下载,其中包含直接应用安装包版本的说明。我们还在解决我们的服务流程中的问题,这些问题导致设备无法接收政策更新”。
微软发言人表示:“易受攻击的驱动程序列表会定期更新,但我们收到的反馈是操作系统版本之间的同步存在差距。我们已更正此问题,并将在即将到来的和未来的 Windows 更新中提供服务。文档页面将随着新更新的发布而更新”。
