Stranica s preporučenim Microsoftovim pravilima o blokiranju upravljačkih programa navodi da se popis blokiranih upravljačkih programa”primjenjuje na”uređaje s omogućenom HVCI.
Ipak, ovdje je sustav s omogućenom HVCI-jom, a jedan od upravljačkih programa na popisu blokiranih (WinRing0) je sretno učitano.
Ne vjerujem dokumentima.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy— Will Dormann (@wdormann) 16. rujna 2022.
Microsoft neprestano nudi nove sigurnosne proizvode i ažuriranja obećavajući bolju zaštitu za svoje korisnike od mogućih napada kibernetičkih kriminalaca. Međutim, u neočekivanom preokretu događaja, web stranica Ars Technica otkrila je veliko otkriće, rekavši da su računala sa sustavom Windows zapravo bila nezaštićena posljednje tri godine od zlonamjernih upravljačkih programa zbog zastarjelog popisa blokiranih ranjivih upravljačkih programa i neučinkovitih značajki sigurnosne zaštite.
Upravljački programi su bitne datoteke Windows računala svakog pojedinca za ispravan rad s drugim uređajima, kao što su grafičke kartice, pisači, web kamere i drugo. Kada su instalirani, to im daje pristup operativnom sustavu vašeg stroja, čineći digitalne znakove u njima važnima kako bi se osigurala njihova sigurna upotreba. Ovo također daje sigurnost kupcima da nema sigurnosnih rupa u upravljačkim programima, što može uzrokovati sigurnosno iskorištavanje na Windows uređajima što bi zlonamjernicima moglo omogućiti pristup sustavu.
Dio ažuriranja sustava Windows je dodavanje tih zlonamjernih upravljačkih programa na vlastiti popis blokiranih kako bi spriječio druge korisnike da ih slučajno instaliraju u budućnosti. Još jedan alat koji Microsoft koristi za dodavanje sloja zaštite kako bi to izbjegao korištenjem značajke koja se naziva integritet koda zaštićenog hipervizorom (HVCI), također nazvana Integritet memorije, koja osigurava da su instalirani upravljački programi sigurni kako bi se spriječilo loše aktere da ubace zlonamjerne kodove u korisnikov sustav. Microsoft je nedavno u objavi naglasio da je ova značajka, zajedno s platformom virtualnog stroja, omogućena prema zadanim postavkama radi zaštite. Tvrtka je napomenula da ga korisnici imaju opciju onemogućiti nakon što potvrde da utječu na performanse igre sustava (iako je Microsoft također spomenuo ponovno uključivanje nakon igranja igrica). Međutim, pokazalo se da su ti prijedlozi besmisleni nakon što je Ars Technica otkrila da značajka HVCI zapravo ne pruža potpunu zaštitu koja se od nje očekuje protiv zlonamjernih upravljačkih programa.
Prije izvješća Ars Technice, stručnjak za sigurnosne ranjivosti Will Dormann u tvrtki za kibernetičku sigurnost Analygence podijelio je rezultat vlastitog testa, pokazujući da je problem poznat javno od rujna.
“Stranica s pravilima blokiranja upravljačkih programa koju preporučuje Microsoft navodi da se popis blokiranih upravljačkih programa ‘primjenjuje’ na uređaje s omogućenom HVCI-jem,” tweetao je Dormann. “Ipak, ovdje je sustav omogućen za HVCI, a jedan od upravljačkih programa na popisu blokiranih (WinRing0) je sretno učitan. Ne vjerujem dokumentima.”
U nizu tweetova Dormann je također podijelio da popis nije ažuriran od 2019., što znači da su korisnici proteklih godina bili nezaštićeni od problematičnih upravljačkih programa unatoč pomoću HVCI-ja, izlažući ih”donesite svoj vlastiti ranjivi upravljački program”ili BYOVD napadima.
“Microsoft Attack Surface Reduction (ASR) također može blokirati upravljačke programe, a popisi su sinkronizirani s popisom blokiranih upravljačkih programa koji provodi HVCI ”, dodao je Dormann.”Osim… u mom testiranju ne blokira ništa.”
Zanimljivo, iako je problem poznat od rujna, Microsoft ga je riješio tek ovog listopada putem voditelja projekta Jefferyja Sutherlanda.
“Ažurirali smo online dokumente i dodali preuzimanje s uputama za izravnu primjenu binarne verzije,” Sutherland je odgovorio na Dormannov tweet.”Također rješavamo probleme s našim procesom servisiranja koji je spriječio uređaje da primaju ažuriranja pravila.”
Microsoft je također priznao grešku Ars Technici nedavno preko predstavnika tvrtke.”Popis ranjivih upravljačkih programa redovito se ažurira, no dobili smo povratne informacije da postoji praznina u sinkronizaciji među verzijama OS-a”, rekao je glasnogovornik web stranici. “Ovo smo ispravili i bit će servisirano u nadolazećim i budućim Windows ažuriranjima. Stranica s dokumentacijom ažurirat će se kako nova ažuriranja budu izdavana.”
S druge strane, Microsoft je već dao upute o tome kako ručno ažurirajte popis blokiranih ranjivih upravljačkih programa, još uvijek nije jasno kada će to biti učinjeno Microsoft automatski putem ažuriranja.
