Windows是否像Microsoft想要相信的那样安全?现在可以出现这个问题。根据ARS Technica的说法,微软会在其操作系统中承认某些缺点。该问题更涉及Windows Update及其黑色列表系统,该系统应该阻止过时的恶意飞行员的安装。
数百万个脆弱的PC
提醒我们,飞行员允许连接到PC的各种设备与操作系统的核心窗户的内核进行通信,换句话说是操作系统最敏感的区域。为了确保对Windows内核的正确保护,Microsoft要求使用允许操作系统检查其出处的证书对软件驱动程序进行数字签名。不幸的是,海盗利用了一些以前的合法飞行员,但包括漏洞,以简化其攻击。使用以前的合法但脆弱的飞行员,他们可以直接访问Windows内核。因此,他们不需要创建违规行为来访问它,并且可以立即发动攻击。
这些攻击非常广泛,被称为Byovd(字面上是带您自己的脆弱驾驶员),这原则上被窗户所阻止,这要归功于著名的黑名单系统。后者指示所有因其遇到的缺陷而闻名的过时的飞行员。该技术使黑客访问机器的管理权,很容易绕过OS中的保护措施,以访问Windows的内核并因此犯下了恶作剧。
微软尚未更新其保护系统
很清楚这种威胁所代表的是,微软已经实施了多个保护系统,包括HVCI(Hypervisor-Proteded Code Integrity)策略,该函数是隔离正在进行的流程的Windows核心。该系统默认在某些Windows机器上激活,目的是防止OS加载以其脆弱性而闻名的合法飞行员。
不幸的是,Microsoft的保护系统显然已经在将近三年的时间内起作用。数以百万计的Windows 10用户和Windows 11认为它已被集成到操作系统的安全工具所保护已接触到此类攻击。安全研究人员威尔·多曼(Will Dormann)在Twitter上解释说,已在Microsoft Protection系统处于活动状态的机器上下载并安装了弱势驱动程序。而且,即使这些都在Microsoft的黑名单上。
https://twitter.com/wdormann/status/1570801410681470985
他不久后发现这项操作是可能的,因为自2019年以来,微软根本没有更新阻止列表!
这家雷德蒙德公司最终做出了正式反应,表明它已更新了其在线文档,其中详细介绍了更新被阻塞驾驶员黑名单的程序。微软无需详细介绍,还指出了通过更新Windows提供给所有用户的更正。
来源 : ARS技术
