MS corrige sincronização de lista de bloqueio de driver vulnerável

MS corrige sincronização de lista de bloqueio de driver vulnerável do Windows, projetada para impedir que os agentes de ameaças liberem drivers legítimos vulneráveis.

A Microsoft diz que resolveu um problema que impedia que a lista de bloqueio de drivers vulneráveis ​​do kernel do Windows fosse sincronizada com sistemas que executam versões mais antigas do Windows.

Essa lista de bloqueio  (armazenada no arquivo DriverSiPolicy.p7b) foi projetada para impedir que os agentes de ameaças baixem drivers legítimos, mas vulneráveis, nos sistemas dos alvos em ataques BYOVD (Bring Your Own Vulnerable Driver) em máquinas Windows habilitadas para HVCI ou aquelas executando Windows no modo S .

Os drivers defeituosos são então explorados para aumentar os privilégios no kernel do Windows e executar códigos maliciosos, desabilitando soluções de segurança e assumindo o controle do dispositivo.

Essa é uma técnica de ataque bem conhecida e popular entre os agentes de ameaças de todos os níveis de habilidade, de gangues de ransomware a grupos de hackers patrocinados pelo Estado .

Embora a Microsoft tenha anunciado sua lista de bloqueio de drivers como capaz de proteger os sistemas Windows contra drivers vulneráveis ​​de terceiros, o analista de segurança da ANALYGENCE, Will Dormann, descobriu que não era o caso.

Como Dormann descobriu, ao contrário dos dispositivos Windows 11, mesmo os sistemas Windows 10 e Windows Server atualizados estavam recebendo uma lista desatualizada de drivers vulneráveis ​​de dezembro de 2019 , expondo clientes que pensavam estar protegidos contra ataques BYOVD.

A Microsoft reconheceu relutantemente suas descobertas e prometeu resolver esse problema e atualizar seus documentos de suporte online enganosos.

A sincronização da lista de bloqueio do driver finalmente foi corrigida

Mais de um mês depois que Dormann revelou que a lista de drivers vulneráveis ​​não estava atualizada no Windows 10 e em alguns sistemas Windows Server, a Microsoft finalmente resolveu esse problema.

A lista de drivers vulneráveis ​​é atualizada regularmente, mas recebemos comentários de que houve uma lacuna na sincronização entre as versões do sistema operacional“, disse um porta-voz da Microsoft ao BleepingComputer.

Nós corrigimos isso e ele será atendido nas próximas e futuras atualizações do Windows. A página de documentação será atualizada à medida que novas atualizações forem lançadas.

Redmond abordou o problema de sincronização da lista de bloqueio de drivers com a atualização de visualização de outubro de 2022 , garantindo que a lista de bloqueio seja a mesma no Windows 10 e 11.

A partir da atualização do Windows 11 2022 (versão 22H2), a lista de bloqueio também é habilitada por padrão em todos os dispositivos. Ainda assim, os clientes podem desativá-lo usando o aplicativo Segurança do Windows , desativando HVCI (integridade de memória) ou desabilitando o Windows no Modo S.

O bloqueio de drivers pode causar mau funcionamento de dispositivos ou software. Em casos raros, isso leva a um erro de parada“, alertou a Microsoft na terça-feira. “Não há garantia de que a lista de bloqueio bloqueie todos os drivers que tenham pontos fracos.”

Fonte: BleepingComputer

Veja também:

Sobre mindsecblog 1871 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. MS corrige sincronização de lista de bloqueio de driver vulnerável – Neotel Segurança Digital

Deixe sua opinião!