Microsoft non blocca i driver vulnerabili su Windows

Microsoft non blocca i driver vulnerabili su Windows

Windows offre una protezione contro gli attacchi BYOVD, ma la necessaria blocklist dei driver vulnerabili non viene aggiornata da quasi tre anni.
Windows offre una protezione contro gli attacchi BYOVD, ma la necessaria blocklist dei driver vulnerabili non viene aggiornata da quasi tre anni.

Microsoft non ha protetto i computer Windows contro gli attacchi BYOVD (Bring Your Own Vulnerable Driver) per quasi tre anni. La blocklist dei driver vulnerabili non è stata aggiornata tramite Windows Update, quindi le funzionalità di sicurezza offerte dal sistema operativo sono inefficaci. Al momento è possibile aggiornare l’elenco solo manualmente, seguendo le istruzioni pubblicate sul sito ufficiale.

Pericolo BYOVD per milioni di computer

Un attacco BYOVD viene effettuato con l’installazione di un driver legittimo (quindi firmato), ma vulnerabile. Negli ultimi mesi sono stati segnalati diversi casi da Trend Micro, ESET e Sophos. Windows e le soluzioni di sicurezza non bloccano questi driver perché sono autentici.

Microsoft ha tuttavia sviluppato alcune funzionalità di sicurezza che impediscono il caricamento dei driver vulnerabili nella memoria del kernel, tra cui isolamento core e integrità della memoria, nota anche come integrità del codice protetta da hypervisor (HVCI). Queste funzionalità possono essere attivate nella sezione Sicurezza dispositivi dell’app Sicurezza di Windows (se sono soddisfatti i requisiti hardware minimi). Un altro meccanismo, ovvero ASR (Attack Surface Reduction) blocca la scrittura dei driver su disco.

Microsoft ha più volte evidenziato che HVCI offre una protezione contro gli attacchi BYOVD. In realtà non è vero perché la blocklist non è stata aggiornata tramite Windows Update da quasi tre anni. Diversi ricercatori di sicurezza hanno verificato che i driver vulnerabili non sono bloccati, nonostante l’attivazione di HVCI.

Un project manager di Microsoft ha ammesso il problema, promettendo la risoluzione in tempi brevi. Fino ad allora, gli utenti possono solo aggiornare manualmente la blocklist, come spiegato in questa pagina.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: ArsTechnica
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 17 ott 2022
Link copiato negli appunti