MS corrige sincronização de lista de bloqueio de driver vulnerável do Windows, projetada para impedir que os agentes de ameaças liberem drivers legítimos vulneráveis.
A Microsoft diz que resolveu um problema que impedia que a lista de bloqueio de drivers vulneráveis do kernel do Windows fosse sincronizada com sistemas que executam versões mais antigas do Windows.
Essa lista de bloqueio (armazenada no arquivo DriverSiPolicy.p7b) foi projetada para impedir que os agentes de ameaças baixem drivers legítimos, mas vulneráveis, nos sistemas dos alvos em ataques BYOVD (Bring Your Own Vulnerable Driver) em máquinas Windows habilitadas para HVCI ou aquelas executando Windows no modo S .
Os drivers defeituosos são então explorados para aumentar os privilégios no kernel do Windows e executar códigos maliciosos, desabilitando soluções de segurança e assumindo o controle do dispositivo.
Essa é uma técnica de ataque bem conhecida e popular entre os agentes de ameaças de todos os níveis de habilidade, de gangues de ransomware a grupos de hackers patrocinados pelo Estado .
Embora a Microsoft tenha anunciado sua lista de bloqueio de drivers como capaz de proteger os sistemas Windows contra drivers vulneráveis de terceiros, o analista de segurança da ANALYGENCE, Will Dormann, descobriu que não era o caso.
Como Dormann descobriu, ao contrário dos dispositivos Windows 11, mesmo os sistemas Windows 10 e Windows Server atualizados estavam recebendo uma lista desatualizada de drivers vulneráveis de dezembro de 2019 , expondo clientes que pensavam estar protegidos contra ataques BYOVD.
A Microsoft reconheceu relutantemente suas descobertas e prometeu resolver esse problema e atualizar seus documentos de suporte online enganosos.
A sincronização da lista de bloqueio do driver finalmente foi corrigida
Mais de um mês depois que Dormann revelou que a lista de drivers vulneráveis não estava atualizada no Windows 10 e em alguns sistemas Windows Server, a Microsoft finalmente resolveu esse problema.
“A lista de drivers vulneráveis é atualizada regularmente, mas recebemos comentários de que houve uma lacuna na sincronização entre as versões do sistema operacional“, disse um porta-voz da Microsoft ao BleepingComputer.
“Nós corrigimos isso e ele será atendido nas próximas e futuras atualizações do Windows. A página de documentação será atualizada à medida que novas atualizações forem lançadas.“
Redmond abordou o problema de sincronização da lista de bloqueio de drivers com a atualização de visualização de outubro de 2022 , garantindo que a lista de bloqueio seja a mesma no Windows 10 e 11.
A partir da atualização do Windows 11 2022 (versão 22H2), a lista de bloqueio também é habilitada por padrão em todos os dispositivos. Ainda assim, os clientes podem desativá-lo usando o aplicativo Segurança do Windows , desativando HVCI (integridade de memória) ou desabilitando o Windows no Modo S.
“O bloqueio de drivers pode causar mau funcionamento de dispositivos ou software. Em casos raros, isso leva a um erro de parada“, alertou a Microsoft na terça-feira. “Não há garantia de que a lista de bloqueio bloqueie todos os drivers que tenham pontos fracos.”
Fonte: BleepingComputer
Veja também:
- Mantenha o código fonte seguro com prevenção de perda de dados
- Vazamento 2,4 TB de dados da Microsoft
- DLP Integrada VS DLP Dedicada
- Microsoft fornece orientação para bug que afeta a ferramenta de inspeção do Azure
- Especialista lista práticas que toda empresa deve ter para se adequar à LGPD
- Atenção para nova vulnerabilidade crítica no Apache Commons Text
- CISA oferece ferramenta gratuita RedEye Analytics para Red Teams
- ANPD lança guia orientativo “Cookies e Proteção de Dados Pessoais”
- Agência Nacional de Proteção de Dados transformada em autarquia
- Exploração contínua de CVE-2022-41352 (Zimbra 0-day)
- PF prende brasileiro suspeito de integrar organização criminosa internacional Lapsus$
- Mitigação de phishing pode custar às empresas mais de US$ 1 milhão por ano
Deixe sua opinião!