Windows 是否像 Microsoft 希望您相信的那样安全?现在可以提出这个问题了。据 Ars Technica 报道,微软承认其操作系统存在某些安全缺陷。这个问题尤其涉及 Windows 更新及其黑名单系统,该系统旨在阻止安装过时的和潜在的恶意驱动程序。
数以百万计的易受攻击的电脑
提醒一下,驱动程序允许连接到 PC 的各种设备与 Windows 内核(操作系统的核心,即操作系统最敏感的区域)进行通信。为了确保对 Windows 内核的适当保护,Microsoft 要求使用允许操作系统验证其来源的证书对软件驱动程序进行数字签名。不幸的是,一些存在漏洞的较旧的合法驱动程序正在被黑客利用来简化他们的攻击。通过使用旧的、合法但易受攻击的驱动程序,他们可以直接访问 Windows 内核。因此,他们不需要自己创建漏洞来获得访问权限,并且可以立即发起攻击。
这些攻击非常普遍,被称为 BYOVD(字面意思是自带易受攻击的驱动程序),由于著名的黑名单系统,原则上 Windows 已阻止这些攻击。后者记录所有因其包含的缺陷而已知的过时驱动程序。这种技术允许拥有计算机管理员权限的黑客轻松绕过操作系统中的保护措施来访问 Windows 内核,从而实施他们的不当行为。
微软尚未更新其保护系统
微软很清楚这种威胁所代表的含义,因此实施了多种保护系统,包括 HVCI(虚拟机管理程序保护代码完整性)策略,该策略允许 Windows 内核与正在运行的进程隔离。该系统在某些 Windows 计算机上默认激活,旨在防止操作系统加载已知存在漏洞的合法驱动程序。
不幸的是,微软的保护系统显然已经快三年没有发挥作用了。数百万 Windows 10 和 Windows 11 用户相信他们受到操作系统中集成的安全工具的保护,因此遭受了此类攻击。安全研究员威尔·多曼 (Will Dormann) 在 Twitter 上解释说,他能够在微软保护系统处于活动状态的计算机上下载并安装存在漏洞的驱动程序。即使他们在微软的黑名单上也是如此。
https://twitter.com/wdormann/status/1570801410681470985
稍后他发现该操作是可能的,因为微软自 2019 年以来就没有更新阻止列表!
雷蒙德公司最终做出正式反应,表示它已经更新了在线文档,其中详细说明了更新被阻止驱动程序黑名单的程序。微软还表示正在研究修复程序,并将通过即将推出的 Windows 更新向所有用户提供修复程序,但并未透露更多细节。
来源 : 技术艺术
