Mittwoch, November 30, 2022

Microsoft erkennt, dass es die Liste der mutmaßlich gesperrten Treiber von Windows 10 seit Jahren nicht aktualisiert hat

Es scheint, dass Microsoft aufgewacht ist und erkannt hat, dass einige Windows Server- und Windows 10-Systeme möglicherweise jahrelang ausnutzbaren Treibern ausgesetzt waren.

Redmond wurde von der Kritik verfolgt, dass seine Hypervisor-Protected Code Integrity (HVCI)-Funktion nicht hielt, was sie versprach. HVCI, das in den letzten Jahren von Microsoft viel angepriesen wurde, sollte, sofern verfügbar und aktiviert, verhindern, dass bekannte anfällige Treiber auf einem Windows-Computer ausgeführt werden, da dieser Code von böswilligen Akteuren ausgenutzt werden könnte, um die vollständige Systemkontrolle zu erlangen. HVCI erfordert bestimmte Hardwareunterstützung und ist nicht immer verfügbar oder aktiviert.

In diesem Monat stellte sich heraus, dass die Liste der anfälligen Treiber, die HVCI blockieren sollte, auf Computern mit bestimmten Betriebssystemen vor Windows 11, wie z. B. einigen Builds von Windows 10 und Windows Server, extrem veraltet war. Schlechte Treiber, die von HVCI hätten gesperrt werden sollen, wenn sie aktiviert sind, waren es einfach nicht.

Während es andere Möglichkeiten gibt, fehlerhafte Treiber zu blockieren, und mit einer neueren Sperrliste, z. B. über WDAC, haben diejenigen, die angenommen haben, dass HVCI ihre Windows 10-PCs automatisch schützt, möglicherweise nicht bemerkt, dass die Treibersperrliste seit 2019 nicht aktualisiert wurde .

Dies hat möglicherweise die Tür für sogenannte Bring-your-own-vulnerable-driver (BYOVD)-Angriffe auf diese übersehenen Systeme offen gelassen. Ein BYOVD-Angriff besteht in der Regel darin, dass jemand auf Ihrem Computer Fuß fasst, indem er Sie beispielsweise dazu verleitet, Malware auszuführen, oder ein nicht autorisierter Insider ist und einen bekannten, anfälligen Treiber installiert, der ausgenutzt werden kann, um Ihren Computer auf Kernel-Ebene zu kapern. Dazu benötigt der Angreifer ausreichende Benutzerrechte oder Zugriff, um den beschädigten Treiber zu installieren.

HVCI mit einer aktualisierten Sperrliste sollte in der Lage sein, diese zwielichtigen Treiberinstallationen zu erkennen.

Laut Microsoft wurden die anfälligen Treiber bei Malware-Infektionen verwendet, die von RobbinHood, GrayFish und Sauron bis hin zu bösem Code reichen, der von Strontium, einer von Russland unterstützten Gruppe, verwendet wird.

In einer Notiz vom Dienstag schrieb Microsoft, dass seit dem Windows 11 2022-Update das Blockieren anfälliger Treiber für alle kompatiblen Geräte standardmäßig aktiviert und nicht aktiviert ist. Es wird über HVCI, Smart App Control oder den S-Modus erzwungen. HVCI soll auch auf den meisten neuen Windows 11-Computern standardmäßig aktiviert sein.

Grundsätzlich sagte Microsoft: „Die Sperrliste wird mit jeder neuen Hauptversion von Windows aktualisiert. Wir planen, die aktuelle Sperrliste für Nicht-Windows-11-Kunden in einer kommenden Wartungsversion zu aktualisieren, und werden gelegentlich zukünftige Updates durch regelmäßige Wartungsarbeiten veröffentlichen.“ Windows“ .

Mit anderen Worten, die neuesten Versionen von Windows erhalten eine aktualisierte Liste verbotener Treiber, und bald erhalten ältere Editionen von Windows 10 und Server endlich eine aktualisierte Liste verbotener Treiber, die wie erwartet funktionieren sollte, wenn die Blockierung aktiviert ist. Redmond hat in den Versionshinweisen für eine Oktober-Vorschauversion für Windows 10, Windows 11 und Windows Server stillschweigend zugegeben, dass seine Sperrliste veraltet ist.

„Diese Vorschauversion vom Oktober 2022 behebt ein Problem, das nur die Sperrliste für vollständige Versionen des Windows-Betriebssystems aktualisiert“, schrieb Microsoft.

In einem Blogbeitrag aus dem Jahr 2020 listete Microsoft HVCI als leistungsstarke hardwaregestützte Sicherheitsfunktion zum Schutz von Windows-Rechnern auf und prahlte mit einer Möglichkeit, die Sperrliste auf Systemen auf dem neuesten Stand zu halten.

Wie jedoch kürzlich von Ars hervorgehoben wurde, wurde die Sperrliste nicht für alle Windows-Systeme aktualisiert, eine Entdeckung dokumentiert von Will Dormann, Senior Vulnerability Analyst bei Analygence.

Dormann konnte einen schädlichen Treiber namens WinRing0 auf ein System laden, auf dem das HVCI-Tool aktiviert war. Später entdeckte er, dass die Treiberblockierliste für Windows-10-Maschinen mit HVCI eine Blockierliste aus dem Jahr 2019 verwendete. Es gab drei Jahre lang keine Updates für Windows-10-Systeme, sodass WinRing0 ausgeführt werden konnte, obwohl spätere Listen den Code verbieten.

Anfang dieses Monats bestätigte Microsoft die Ergebnisse von Dormann und sagte, dass es seine Online-Support-Dokumente aktualisieren und einen Download mit Anweisungen zum direkten Anwenden der Binärversion hinzufügen werde.

„Wir beheben auch Probleme mit unserem Supportprozess, die Geräte daran hinderten, Richtlinienaktualisierungen zu erhalten“, schrieb Jeffrey Sutherland von Microsoft in a Tweets. ®

Related Articles

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Latest Articles