Windows 是否像 Microsoft 希望您相信的那樣安全?現在可以提出這個問題了。根據 Ars Technica 報告,微軟承認其作業系統存在某些安全缺陷。這個問題尤其涉及 Windows 更新及其黑名單系統,該系統旨在阻止安裝過時的和潛在的惡意驅動程式。
數以百萬計的易受攻擊的電腦
提醒一下,驅動程式允許連接到 PC 的各種裝置與 Windows 核心(作業系統的核心,也就是作業系統最敏感的區域)進行通訊。為了確保對 Windows 核心的適當保護,Microsoft 要求使用允許作業系統驗證其來源的憑證對軟體驅動程式進行數位簽署。不幸的是,一些存在漏洞的較舊的合法驅動程式正在被駭客利用來簡化他們的攻擊。透過使用舊的、合法但易受攻擊的驅動程序,他們可以直接存取 Windows 核心。因此,他們不需要自己創建漏洞來獲得存取權限,並且可以立即發動攻擊。
這些攻擊非常普遍,被稱為 BYOVD(字面意思是自帶易受攻擊的驅動程式),由於著名的黑名單系統,原則上 Windows 已阻止這些攻擊。後者記錄所有因其包含的缺陷而已知的過時驅動程式。這種技術允許擁有電腦管理員權限的駭客輕鬆繞過作業系統中的保護措施來存取 Windows 內核,從而實施他們的不當行為。
微軟尚未更新其保護系統
微軟很清楚這種威脅所代表的含義,因此實施了多種保護系統,包括 HVCI(虛擬機器管理程式保護程式碼完整性)策略,該策略允許 Windows 核心與正在運行的進程隔離。該系統在某些 Windows 電腦上預設激活,旨在防止作業系統載入已知存在漏洞的合法驅動程式。
不幸的是,微軟的保護系統顯然已經快三年沒有發揮作用了。數百萬 Windows 10 和 Windows 11 用戶相信他們受到作業系統中整合的安全工具的保護,因此遭受了此類攻擊。安全研究員威爾多曼 (Will Dormann) 在 Twitter 上解釋說,他能夠在微軟保護系統處於活動狀態的電腦上下載並安裝存在漏洞的驅動程式。即使他們在微軟的黑名單上也是如此。
https://twitter.com/wdormann/status/1570801410681470985
稍後他發現該操作是可能的,因為微軟自 2019 年以來就沒有更新封鎖清單!
雷蒙德公司最終做出正式反應,表示它已經更新了線上文檔,其中詳細說明了更新被阻止驅動程式黑名單的程式。微軟也表示正在開發修復程序,但未透露更多細節,修復程式將透過即將推出的 Windows 更新提供給所有用戶。
來源 : 技術藝術
