Microsofts forældede driverliste efterlod Windows-pc'er sårbare mod malware-angreb i flere år

Annonceindlæg fra Computerworld

Open Source AI er på vej ind i kommunerne

Med OS2ai forsøger Aarhus Kommune og OS2-fællesskabet at give offentlige medarbejdere adgang til generativ AI uden at gøre kommunerne mere afhængige af amerikanske techgiganter.

Brugerne af Windows-enheder har i omkring tre år været sårbare overfor skadelige drivere.

Det skyldes mangler i Windows’ forsvarsmekanismer, der efterlod kunderne åbne for malware-angreb.

Microsofts har hævdet, at Windows Update automatisk ville tilføje nye softwaredrivere til en blokeringsliste, der er designet til at stoppe malware-teknikken BYOVD (bring your own vulnerable driver).

Nu skriver Ars Technica og The Verge dog, at det viser sig, at Windows ikke downloadede og anvendte opdateringer til driverblokeringslisten korrekt.

Det har betydet, at brugere blev efterladt sårbare over for nye BYOVD-angreb.

Læs også: Alle nyere Windows-versioner kan nu automatisk blokere for særlig type it-angreb

Drivere er filer, som computerens operativsystem bruger til at kommunikere med eksterne enheder og hardware, som en printer, grafikkort eller et webcam.

Eftersom drivere kan få adgang til kernen af ​​en enheds styresystem, kræver Microsoft, at alle drivere er digitalt signeret, hvilket beviser, at de er sikre at bruge.

Hvis en eksisterende, digitalt signeret driver har et sikkerhedshul, kan hackere dog udnytte dette og få direkte adgang til Windows.

Microsoft benytter en sikkerhedsfunktion kaldet hypervisor-protected code integrity (HVCI), som skal beskytte mod skadelige drivere. Denne funktion bør være standard på mange Windows-enheder.

Læs også: Microsoft retter mere end 80 fejl – men fikser ikke Exchange-sårbarheder

Men ifølge Ars Technica og Will Dormann, der er senior sårbarhedsanalytiker hos cybersikkerhedsvirksomheden Analygence, er denne funktion ikke tilstrækkelig beskyttelse mod ondsindede drivere.

Will Dorman skriver på Twitter, at han succesfuldt ar downloadet ondsindede drivere på en enhed med HVCI aktiveret. Senere har han opdaget, at Microsofts blokeringsliste ikke er blevet opdateret siden 2019, skriver The Verge.

Med andre ord, så har enheder med HVCI aktiveret ikke været tilstrækkeligt beskyttet i flere år.

Arbejdet er i gang

Det var først tidligere på måneden, at Microsoft fik gjort noget ved problemet.

"Tak for al feedback. Vi har opdateret online-dokumenterne og tilføjet et download med instruktioner til at anvende den binære version direkte. Vi løser også problemerne med vores serviceproces, som har forhindret enheder i at modtage opdateringer til politikken," skriver Microsofts projektleder Jeffery Sutherland som svar på kritikken.

Microsoft har siden udgivet instrukser til manuelt at opdatere sin blokeringsliste. Det er dog stadig uklart, hvornår den automatiske proces vil virke til nye opdateringer, men den nuværende liste bør være opdateret, skriver The Verge baseret på kommentarer fra Microsoft.