Компания Microsoft, похоже, наконец-то решила проблему, из-за которой пользователи Windows могли подвергнуться всевозможным кибератакам.
Метод кибератаки называется Bring Your Own Vulnerable Driver, или сокращенно BYOVD. Он заключается в том, что злоумышленники устанавливают на целевые конечные точки старые, легитимные драйверы программного обеспечения, известные своей уязвимостью (откроется в новой вкладке). Установка легального драйвера не вызовет тревоги антивируса (откроется в новой вкладке), но откроет злоумышленникам бэкдоры для доставки более опасной полезной нагрузки.
Однако исследователи недовольны тем, как компания решила проблему, поскольку, похоже, Microsoft создала лишь одноразовое решение для проблемы, требующей постоянной поддержки.
Отсутствие обновлений
Количество атак BYOVD значительно возросло за последние пару месяцев, что побудило исследователей из Ars Technica выяснить, работают ли решения Microsoft для этой проблемы (которые они окрестили «Secured Core» PCs) так, как задумано, или нет. Тогда они поняли, что список не обновлялся уже довольно давно.
«Но поскольку я писал о вышеупомянутых северокорейских атаках, я хотел убедиться, что эта широко разрекламированная функция блокировки драйверов работает так, как заявлено, на моей машине с Windows 10». пишет Дэн Годин из Ars Technica. «Да, у меня была включена целостность памяти в Windows Security Device security Core isolation, но я не видел никаких доказательств того, что список запрещенных драйверов периодически обновлялся.»
Microsoft отвергла первоначальные выводы как не относящиеся к делу, но поскольку другие исследователи присоединились к ним, компания позже изменила свою позицию, заявив, что она «устраняет проблемы с нашим процессом обслуживания, из-за которых устройства не получали обновления политики». добавил Годин.
«Список уязвимых драйверов регулярно обновляется, однако мы получили отзывы о том, что в разных версиях ОС наблюдался разрыв в синхронизации». говорится в сообщении Microsoft. «Мы исправили эту ошибку, и она будет устранена в ближайших и будущих обновлениях Windows. Страница документации будет обновляться по мере выхода новых обновлений.»
Хотя Microsoft утверждала, что решила проблему благодаря постоянно обновляемому списку драйверов, исследователи обнаружили, что компания не обновляла этот список около трех лет. Другими словами, все уязвимые драйверы были обнаружены за последние 24. 36 месяцев не были добавлены в этот блок-лист, и субъекты угроз могли использовать их для устранения уже заделанных дыр в безопасности.
После этого Microsoft выпустила новый инструмент, позволяющий пользователям Windows 10 устанавливать обновления блок-листа, которые ожидали обновления в течение трех лет. «Но это одноразовый процесс обновления; пока неясно, может ли Microsoft или будет ли она распространять автоматические обновления для блок-листа драйверов через Windows Update». заключил Годин.
Image:www.techradar.com