Windows 10 および Windows 11 を保護するために、Microsoft は悪意のあるドライバーまたは古いドライバーをブラックリストに登録しました。問題は、これらのドライバーのリストが 2019 年以降更新されていないのに、それ以降、新たな欠陥のあるドライバーが出現していることです。
今日、私たちが望むときPC ドライバーを更新する、何もすることはありません。 Windows Update が処理していない場合は、製造元のアプリケーションがすべてを処理します。ただし、一部のサイトでは、サードパーティのアプリケーションや従来の実行可能ファイルを介してドライバーを配布しているため、ここが事態を複雑にしています。なぜならマルウェアはこれらのドライバーの背後に隠れている場合があります、マシンを制御し、ユーザーのすべてのデータを盗み、暗号化し、被害者をスパイすることができます。
これらに対抗するためにサードパーティ製ドライバーWeb 上にはこのような情報が溢れていますが、Microsoft はブラックリスト。これにより、ユーザーの要求による場合でも、コンピューターがすでに破損していてドライバーのインストールを強制しようとする場合でも、サードパーティのドライバーがコンピューターにインストールされることが禁止されます。理論的には、このシステムにより、攻撃者によるシステムへの侵入の試みを撃退することが可能になります。それ以外はほぼ 3 年間、Microsoft はアップデートをプッシュできませんでしたこのリストをユーザーに公開します。
悪意のあるドライバーがウェブ上に大量に存在する
事実を簡単に思い出してください。ドライバーが直接動作するには、Windows カーネルに直接アクセスする必要があります。したがって、マルウェアがシステムを侵害しようとするのを防ぐために、Microsoft は各ドライバーが証明書を使用して署名されることを要求しています。ただし、一部の正規のドライバには 1 つ以上の脆弱性が存在する可能性があります。そして、開発者が問題の欠陥を修正した場合でも、古いドライバーは攻撃者にとって理想的な場所のままです。 BYOVD と呼ばれるこの悪意のあるドライバーの現象は 10 年ほど前から存在しており、今日最悪の著作権侵害の脅威の 1 つと考えられています。
Ars Technica サイトが思い出したように、Lazarus グループは最近、オランダの航空宇宙会社とベルギーのジャーナリストのアカウントをハッキングすることで名を上げました。彼らは次の助けを借りて攻撃に成功しました。古いデルのドライバー。別の例: ハッカーは昨年 7 月に mhyport2.sys ドライバーの欠陥を悪用してマルウェアを拡散しました。ゲーム「原神」で使用される古いアンチチートドライバー。今日、このタイプの例は無数にあります。
Microsoftは3年間、欠陥のあるドライバーのリストを更新していません
これらの悪意のあるドライバーの脅威に対抗するために、Microsoft はドライバーのインストールや実行を防ぐ 2 つのシステムを実装しました。 1 つ目は HVCI (HyperVisor-protected Code Integrity) と呼ばれるもので、Windows 10 と Windows 10 の保護に役立ちます。Windows 11。このタイプの防御は、署名済みではあるが古いドライバーや欠陥のあるドライバーのメモリへのロードをブロックします。 2 つ目は ASR と呼ばれ、脆弱なドライバーがハード ドライブまたは SSD に書き込まれるのを防ぐことで構成されます。
問題: これらの保護は 100% 効果的ではありません。そこで、Ars Technica のジャーナリストは、ESET 研究者の協力を得て、脆弱な Dell ドライバを PC にインストールすることに成功しました。これは、前述の Lazarus ハッカー グループが使用したものと同じドライバでした。そして、これはオプションですが、メモリの完全性に関するものと同様に、アクティベートされました。Microsoft の脆弱性ドライバーのブロックリスト。 PC 上ですべてが正常であることも確認したい場合は、ツールを起動しますWindows セキュリティ、次に進みますデバイスのセキュリティ>コア絶縁>コア絶縁の詳細。
しかし、OS 内でこの種の障害が発生していることに気づいたのはジャーナリストだけではありません。 Analysis (サイバーセキュリティを専門とする企業) の研究者である Will Dormann 氏は、BYOVD 攻撃が Windows によって十分にブロックされていないと数週間にわたって警鐘を鳴らしてきました。彼らは、Windows によってブロックされていない脆弱性があると認識されている WingR0 ドライバーを特に指摘しています。
同じ Will Dormann 氏は、Windows 10 のドライバーのブラックリストは 2019 年以来更新されておらず、Windows Server 2019 用のドライバーには 2 つのドライバーしか含まれていないと説明しています。 Microsoft がこの件についてコメントしたくなかったとしても、同社のプロジェクト マネージャーは最終的にドライバーのブロック リストに大きな問題があることを認めました。
Microsoft がこの問題に気づき、「プッシュ」できるツールを公開するまでに 3 年かかりました。廃止されたドライバーのリストの更新または悪意があります。ただし、このプログラムは Windows Update 経由ではまだ入手できないため、手動で取得してインストールする必要があります。そして、そのインストールは簡単な作業ではないことを認めなければなりません。プロセスは次の場所にありますマイクロソフトのウェブサイト. というタイトルのセクションにあります。脆弱性ドライバー リストのバイナリ ファイルをダウンロードして適用する手順。
ウィル・ドーマンが開発したインストールがはるかに簡単な小さなスクリプト。このツールは以下のリンクからダウンロードできます。コンテンツをコピーするには、管理者モードで PowerShell を起動し、スクリプトのコンテンツを貼り付けるだけです。
ソース :アルス テクニカ