Microsoft, похоже, наконец-то решила проблему, из-за которой пользователи Windows могли подвергаться риску всевозможных кибератак.
Метод кибератаки под названием Bring Your Own Vulnerable Driver, или сокращенно BYOVD. Он вращается вокруг злоумышленников, устанавливающих старые законные программные драйверы, известные своими уязвимостями, на целевых конечных точках. (откроется в новой вкладке). Установка легального драйвера не приведет к срабатыванию антивируса. (откроется в новой вкладке) тревоги, но откроет лазейки для злоумышленников, чтобы доставить более опасную полезную нагрузку.
Однако исследователи недовольны тем, как компания решила проблему, поскольку Microsoft создала лишь разовое решение проблемы, требующей постоянной поддержки.
Нет обновлений
Количество атак BYOVD значительно выросло за последние пару месяцев, что побудило исследователей из Ars Technica выяснить, работают ли решения Microsoft для проблемы (которые они назвали ПК с «защищенным ядром») должным образом или нет. Именно тогда они поняли, что список не обновлялся довольно долгое время.
«Но поскольку я сообщал об атаках Северной Кореи, упомянутых выше, я хотел убедиться, что эта широко рекламируемая функция блокировки драйверов работает так, как рекламируется, на моем компьютере с Windows 10», — пишет Дэн Годин из Ars Technica. «Да, целостность памяти была включена в разделе «Безопасность Windows» > «Безопасность устройства» > «Изоляция ядра», но я не видел доказательств того, что список запрещенных драйверов периодически обновлялся».
Microsoft отклонила первоначальные выводы как не относящиеся к делу, но, когда к ней присоединились другие исследователи, позже она изменила свою позицию, заявив, что «исправляет проблемы с нашим процессом обслуживания, которые не позволяют устройствам получать обновления политики», — добавил Годин.
«Список уязвимых драйверов регулярно обновляется, однако мы получили отзывы о том, что между версиями ОС существует разрыв в синхронизации», — говорится в сообщении Microsoft. «Мы исправили это, и оно будет исправлено в предстоящих и будущих обновлениях Windows. Страница документации будет обновляться по мере выпуска новых обновлений».
Хотя Microsoft утверждала, что решила проблему, имея постоянно обновляемый черный список драйверов, исследователи обнаружили, что компания не обновляла этот список примерно три года. Другими словами, любые уязвимые драйверы, обнаруженные за последние 24–36 месяцев, не были добавлены в этот черный список, и злоумышленники могли использовать их, чтобы закрыть уже заделанные дыры в безопасности.
С тех пор Microsoft выпустила новый инструмент, который позволяет пользователям Windows 10 развертывать обновления черного списка, которые ожидались в течение трех лет. «Но это одноразовый процесс обновления; Пока неясно, сможет ли Microsoft автоматически обновлять черный список драйверов через Центр обновления Windows», — заключил Годин.
С помощью: Арс Техника (откроется в новой вкладке)
