.
A Microsoft parece ter acordado e percebido que pode ter deixado certos sistemas Windows Server e Windows 10 expostos a drivers exploráveis por anos.
Redmond foi perseguido por críticas de que sua integridade de código protegida por hipervisor (HVCI) não estava cumprindo sua promessa. Muito elogiado pela Microsoft nos últimos dois anos, o HVCI, quando disponível e ativado, deve impedir que drivers vulneráveis conhecidos sejam executados em uma caixa do Windows, pois esse código pode ser explorado por criminosos para obter controle total sobre o sistema. HVCI requer certo suporte de hardware e nem sempre está disponível ou habilitado.
Este mês, surgiu a lista de drivers vulneráveis que o HVCI deveria estar bloqueando estava desatualizado em máquinas que executam determinados sistemas operacionais anteriores ao Windows 11, como algumas compilações do Windows 10 e do Windows Server. Drivers ruins que deveriam ter sido banidos pelo HVCI, quando ativados, não foram, simplesmente.
Embora existam outras maneiras de bloquear drivers ruins, e com uma lista de banimentos mais recente, como via WDACaqueles que assumiram que a HVCI estava protegendo automaticamente seus PCs com Windows 10 podem não ter percebido que sua lista de negação de drivers não foi atualizada desde 2019.
Isso potencialmente deixou a porta aberta para o chamado “traga seu próprio driver vulnerável” (BYOVD) ataques nesses sistemas negligenciados. Um ataque BYOVD normalmente envolve alguém ganhando uma posição no seu computador – como enganar você para executar malware ou ser um invasor desonesto – e instalar um driver conhecido e vulnerável que pode ser explorado para seqüestrar a caixa no nível do kernel. Para fazer isso, o criminoso precisa de privilégios de usuário suficientes ou acesso para instalar o driver incorreto.
O HVCI com uma lista de banimentos atualizada deve ser capaz de capturar essas instalações de driver desonestas.
De acordo com a Microsoft, drivers vulneráveis têm sido usados em infecções de malware que variam de Robbin HoodGrayFish e Sauron ao código desagradável usado por Estrônciouma tripulação apoiada pela Rússia.
Corrigido, tipo
Em um Nota na terça-feira, a Microsoft escreveu que, a partir da atualização do Windows 11 2022, o bloqueio de driver vulnerável é ativado por padrão, em vez de ser ativado, para todos os dispositivos capazes. É aplicado por meio de HVCI, Smart App Control ou modo S. Diz-se também que o HVCI está ativado por padrão na maioria das novas máquinas com Windows 11.
Planejamos atualizar a lista de bloqueio atual para clientes que não são do Windows 11 em uma próxima versão de serviço
Fundamentalmente, a Microsoft declarou: “A lista de bloqueio é atualizada a cada nova versão principal do Windows. Planejamos atualizar a lista de bloqueio atual para clientes que não são do Windows 11 em uma próxima versão de serviço e ocasionalmente publicaremos atualizações futuras por meio de manutenção regular do Windows”.
Em outras palavras, as versões mais recentes do Windows obtêm uma lista atualizada de drivers banidos e, em breve, as edições mais antigas do Windows 10 e Server finalmente obterão uma lista de drivers detalhados atualizada que deve funcionar conforme o esperado, se o bloqueio estiver ativado. Redmond admitiu discretamente que sua lista de bloqueio está desatualizada nas notas de lançamento para uma versão de visualização de outubro para Windows 10, Windows 11 e Windows Server.
“Esta versão de visualização de outubro de 2022 aborda um problema que atualiza apenas a lista de bloqueio para versões completas do sistema operacional Windows”, disse a Microsoft. escreveu.
Em um postagem do blog em 2020, a Microsoft listou o HVCI como um forte recurso de segurança com suporte de hardware para proteger máquinas Windows e se gabou de uma maneira de manter a lista de bloqueio atualizada nos sistemas.
No entanto, como recentemente em destaque por Ars, a lista de bloqueio não estava atualizando para todos os sistemas Windows, uma descoberta documentado por Will Dormann, analista sênior de vulnerabilidades da Analygence.
Dormann conseguiu carregar um driver malicioso conhecido como WinRing0 em um sistema que tinha a ferramenta HVCI habilitada. Mais tarde, ele descobriu que a lista de bloqueio de drivers para Windows 10 máquinas com HVCI estavam usando uma lista de bloqueio de 2019. Não houve atualizações para sistemas Windows 10 por três anos, permitindo que o WinRing0 fosse executado mesmo que as listas posteriores banissem o código.
No início deste mês, a Microsoft reconheceu as descobertas de Dormann e disse que estava atualizando os documentos de suporte online, além de adicionar um download com instruções para aplicar a versão binária diretamente.
“Também estamos corrigindo os problemas com nosso processo de manutenção que impediu que os dispositivos recebessem atualizações da política”, escreveu Jeffrey Sutherland, da Microsoft, em um comunicado. tuitar. ®
.
