微軟過時驅動程序列表讓Windows PC易受惡意軟件攻擊


援引ArsTechnica報道,微軟近三年來始終無法正確保護WindowsPC免受惡意驅動程序的侵害。盡管微軟表示其WindowsUpdate根據設備的不同將新的惡意驅動程序添加到已下載的阻止列表中,但這些列表並未奏效。

由於設備方面的差距讓用戶非常容易受到“帶上自己脆弱的驅動”(bring your own vulnerable driver,BYOVD)攻擊。

驅動程序是計算機操作系統用來與外部設備和硬件(例如打印機、顯卡或網絡攝像頭)通信的文件。由於驅動程序可以訪問設備操作系統或內核的核心,因此微軟要求所有驅動程序都經過數字簽名,以證明它們可以安全使用。但是,如果現有的數字簽名驅動程序存在安全漏洞,黑客可以利用此漏洞直接訪問。

目前已經有證據表明黑客利用這種方式發起攻擊。8 月,黑客對用於超頻的實用程序 MSI AfterBurner 下手,在這個存在缺陷的驅動程序上安裝 BlackByte 勒索軟件。近期另一件此類事件是網絡犯罪分子利用遊戲 Genshin Impact 的反作弊驅動程序中的漏洞。

朝鮮黑客組織 Lazarus 於 2021 年對荷蘭的一名航空航天雇員和比利時的一名政治記者發動 BYOVD 攻擊,但安全公司 ESET 直到上個月底才曝光。

正如 Ars Technica 所指出的,微軟使用一種稱為虛擬機管理程序保護代碼完整性 (HVCI) 的東西,它應該可以防止惡意驅動程序,該公司表示,某些 Windows 設備默認啟用該驅動程序。

然而,Ars Technica 和網絡安全公司 Analygence 的高級漏洞分析師 Will Dormann 都發現,此功能無法為惡意驅動程序提供足夠的保護。

在 9 月發佈到 Twitter 的帖子中,Dormann 解釋說,他能夠在支持 HVCI 的設備上成功下載惡意驅動程序,即使該驅動程序在微軟的阻止列表中。

他後來發現,微軟的黑名單自 2019 年以來就沒有更新過,而且微軟的攻擊面減少 (ASR) 功能也無法抵禦惡意驅動程序。這意味著任何啟用 HVCI 的設備在大約三年內都沒有受到不良驅動程序的保護。

微軟於本月初修復這個問題。微軟項目經理 Jeffery Sutherland 在回復 Dormann 的推文時說:“我們已經更新在線文檔並添加一個下載,其中包含直接應用安裝包版本的說明。我們還在解決我們的服務流程中的問題,這些問題導致設備無法接收政策更新”。

微軟發言人表示:“易受攻擊的驅動程序列表會定期更新,但我們收到的反饋是操作系統版本之間的同步存在差距。我們已更正此問題,並將在即將到來的和未來的 Windows 更新中提供服務。文檔頁面將隨著新更新的發佈而更新”。


相關推薦

2022-09-21

早在4月,微軟公佈Windows11的一系列新的安全功能,並表示它們即將在操作系統的"未來版本"中出現。事實證明,該公司在這一聲明中指的是Windows112022更新--現在正在推送。微軟已經證實,它在幾個月前宣佈的

2022-11-16

一份新的全球威脅報告為微軟描繪一幅糟糕的畫面,因為Windows繼續擁有最多的惡意軟件感染,而macOS的惡意軟件最少。ElasticSecurityLabs周二發佈一份網絡安全報告,研究流行的操作系統和它們收到的威脅,該公司還包括對企業客

2023-11-07

現代Windows版本支持通過Windows驅動程序模型(WDM)和Windows驅動程序框架(WDF)編寫的設備驅動程序。這兩種模式都可被利用來入侵已完全更新的Windows安裝,從而不受限制地控制易受攻擊的系統。VMware威脅分析部門(TAU)的漏洞

2024-02-16

微軟將於2025年10月14日終止對Windows10的官方支持,而其中許多計算機並不滿足Windows11的安裝和運行標準,屆時數以億計的電腦可能會變成污染環境的電子垃圾。Google提出一個替代解決方案--通過ChromeOSFlex提供"自動更新&am

2024-05-22

快科技5月21日消息,Windows 11自發佈以來不斷更新,除顯而易見的界面、特性變化,更是持續引入大量的安全功能和更新,無論對個人用戶還是對企業機構都至關重要,但它們往往隱居在幕後,不為人所知。現在,微軟特意撰文

2023-02-08

這種竊取信息的惡意軟件使用的文件名旨在偽裝成合法的微軟Office文件,與其他TA471工具類似,如GraphSteel和GrimPlant,它們之前被用作專門針對烏克蘭國傢機構的魚叉式釣魚活動的一部分。但賽門鐵克表示,Graphiron旨在滲出更多數

2024-02-07

據瑞士報紙AargauerZeitung最近發表的一篇報道稱,約有300萬臺智能牙刷已被黑客感染並奴役為僵屍網絡。報道稱,這支規模龐大的聯網牙科清潔工具大軍被用於對一傢瑞士公司網站的DDoS攻擊。該公司的網站在攻擊的壓力下崩潰,

2022-08-17

面向ReleasePreview頻道用戶,微軟發佈適用於Windows11的累積更新KB5016691,用戶安裝之後版本號升至Build22000.917。本次更新允許IT管理員遠程添加和管理語言;MicrosoftDefenderforEndpoint在本次更新之後也能更好地識別和阻止惡意軟件和高

2022-10-08

上月,微軟正式開啟Windows1122H2功能更新的推送,並且帶來諸多安全特性。與此同時,微軟更新“易受攻擊的驅動程序”的阻止列表及其功能,現能夠在特定情況下默認啟用。最新消息是,隨著Windows1122H2的推出,這傢軟件巨頭正

2022-08-04

7月下旬默認阻止VBA宏的運行。然而對於用戶基數龐大的Windows操作系統來說,它還是很容易被各類威脅參與者給盯上。Neowin指出,新的策略、基數和程序(TTP)層出不窮,使得ISO、LNK和RAR等文件格式都極易被註入惡意軟件。截圖

2022-09-04

Windows11包括一個自動執行重復性任務的工具PowerAutomate,為用戶節省大量的時間。然而,一位安全研究人員說,這也能為黑客節省大量時間,他質疑其自動化工具的脆弱性,但正如關於網絡安全的慣例,人類的自滿可能是最薄弱

2022-09-26

與執行ASEC 解釋稱,勒索軟件首先是被註入到一個普通的 Windows 程序(AppLaunch.exe)中。它試圖刪除某個路徑上的註冊表項,並執行恢復停用命令和關閉某些進程。圖 4 - BAT 文件詳情盡管勒索軟件會加密文件,但攻擊者特地排除某

2022-08-11

lnerabilities)目錄下新增2個新的漏洞。其中1個漏洞存在於WindowsSupportDiagnosticTool(MSDT),並以零日(0-Day)的形式存在2年多時間,有充足的證據表明被黑客利用。這兩個安全漏洞都被標記為高嚴重性評分,並且是目錄遍歷漏洞,可

2024-04-01

早前由於UbuntuSnapStore商店裡近期多次出現惡意軟件,尤其是針對加密貨幣錢包之類的惡意軟件,為此Canonical不得不抽調人手修改流程,同時開發者提交應用不再是自動化的,而是需要Canonical工程團隊的成員進行人工審核後才允許