によると、マイクロソフトは悪意のあるドライバーから Windows PC を適切に保護することに 3 年近く失敗していました。 からの報告 アルステクニカ. Microsoft は、Windows の更新により、新しい悪意のあるドライバーがデバイスによってダウンロードされたブロックリストに追加されると述べていますが、 アルステクニカ これらの更新が実際に動かないことがわかりました。
このカバレッジのギャップにより、ユーザーは BYOVD と呼ばれる特定の種類の攻撃に対して脆弱になったり、独自の脆弱なドライバーを持ち込んだりしました。 ドライバーは、コンピューターのオペレーティング システムが、プリンター、グラフィック カード、Web カメラなどの外部デバイスやハードウェアと通信するために使用するファイルです。 ドライバーはデバイスのオペレーティング システムのコアまたはカーネルにアクセスできるため、Microsoft はすべてのドライバーがデジタル署名されていることを要求し、安全に使用できることを証明しています。 しかし、デジタル署名された既存のドライバーにセキュリティ ホールがある場合、ハッカーはこれを悪用して Windows に直接アクセスできます。
によって指摘されたように アルステクニカ、Microsoft は、悪意のあるドライバーから保護することになっているハイパーバイザーで保護されたコードの整合性 (HVCI) と呼ばれるものを使用します。 会社は有効になっていると言います 特定の Windows デバイスではデフォルトで。 ただし、どちらも アルステクニカ また、サイバーセキュリティ会社 Analygence の上級脆弱性アナリストである Will Dormann は、この機能では悪意のあるドライバーに対して適切な保護が提供されないことを発見しました。
で Twitterに投稿されたスレッド 9 月、Dormann は、悪意のあるドライバーが Microsoft のブロックリストに載っていたにもかかわらず、HVCI 対応デバイスに悪意のあるドライバーをダウンロードすることに成功したと説明しています。 彼は後に、Microsoft のブロックリストが 2019 年以降更新されておらず、Microsoft の Attack Surface Reduction (ASR) 機能も悪意のあるドライバーから保護されていないことを発見しました。 これは、HVCI が有効になっているデバイスは、約 3 年間、不正なドライバーから保護されていないことを意味します。
Microsoft は、今月初めまで Dormann の調査結果に対処していませんでした。 「オンライン ドキュメントを更新し、バイナリ バージョンを直接適用する手順を記載したダウンロードを追加しました」と Microsoft プロジェクト マネージャーの Jeffery Sutherland 氏は述べています。 ドーマンのツイートへの返信で述べた. 「また、デバイスがポリシーの更新を受け取れなかったサービス プロセスの問題も修正しています。」 Microsoft はそれ以来、 ブロックリストを手動で更新する 何年もの間欠落していた脆弱なドライバーが含まれていますが、Microsoft が Windows 更新プログラムを通じて新しいドライバーをリストに自動的に追加し始める時期はまだ明らかではありません。
「脆弱なドライバーのリストは定期的に更新されていますが、OS バージョン間の同期にギャップがあるというフィードバックを受け取りました」と Microsoft の広報担当者は声明で述べています。 アルステクニカ. 「これを修正し、今後の Windows Update でサービスを提供する予定です。 新しいアップデートがリリースされると、ドキュメント ページが更新されます。」 マイクロソフトはすぐに応答しませんでした ザ・バージさんのコメント依頼。