Microsoft si rende conto che l’elenco dei driver vietati per Windows 10 non è aggiornato • The Register

Sembra che Microsoft si sia svegliata e si sia resa conto che potrebbe aver lasciato alcuni sistemi Windows Server e Windows 10 esposti per anni a driver sfruttabili.

Redmond è stato perseguitato dalle critiche secondo cui la sua funzione di integrità del codice protetto da hypervisor (HVCI) non è all’altezza delle sue promesse. Tanto pubblicizzato da Microsoft negli ultimi due anni, HVCI, quando disponibile e attivato, dovrebbe impedire l’esecuzione di driver vulnerabili noti su una macchina Windows, poiché questo codice può essere sfruttato da malintenzionati per ottenere il controllo totale del sistema. HVCI richiede un determinato supporto hardware e non è sempre disponibile o abilitato.

Questo mese è emerso che l’elenco dei driver vulnerabili che HVCI dovrebbe bloccare non è aggiornato su macchine che eseguono alcuni sistemi operativi precedenti a Windows 11, come alcune build di Windows 10 e Windows Server. I cattivi driver che dovrebbero essere banditi da HVCI, quando abilitati, non lo sono, in poche parole.

Sebbene esistano altri modi per bloccare i driver dannosi e con un elenco di ban più recente, ad esempio tramite WDAC, coloro che pensano che HVCI protegga automaticamente i propri PC Windows 10 potrebbero non rendersi conto che il suo elenco di driver rifiutati non è stato aggiornato dal 2019.

Ciò lascia potenzialmente la porta aperta ai cosiddetti attacchi Bring-Your-Own-Vulnerable-Driver (BYOVD) a quei sistemi trascurati. Un attacco BYOVD di solito coinvolge qualcuno che prende piede sul tuo computer, ad esempio inducendoti a eseguire malware o essere un insider canaglia e installando un driver noto e vulnerabile che può essere sfruttato per dirottare la macchina a livello di kernel. Per fare ciò, il malintenzionato necessita di privilegi utente o accesso sufficienti per installare il driver dannoso.

HVCI con un elenco di ban aggiornato dovrebbe catturare quelle installazioni di driver ingannevoli.

Secondo Microsoft, i driver vulnerabili sono stati utilizzati nelle infezioni da malware da RobbinHood, GrayFish e Sauron al codice dannoso utilizzato da Strontium, un gruppo sostenuto dalla Russia.

Risolto, più o meno

In una nota di martedì, Microsoft ha scritto che a partire dall’aggiornamento di Windows 11 2022, il blocco dei driver deboli è abilitato per impostazione predefinita, anziché optare per tutti i dispositivi compatibili. Questo viene implementato tramite HVCI, Smart App Control o modalità S. Si dice anche che HVCI sia attivo per impostazione predefinita sulla maggior parte dei nuovi computer Windows 11.

Prevediamo di aggiornare l’elenco di blocco corrente per i clienti non Windows 11 in una prossima versione del servizio

È importante sottolineare che Microsoft ha affermato: “La blocklist viene aggiornata con ogni nuova versione principale di Windows. Abbiamo in programma di aggiornare l’attuale blocklist per i clienti non Windows 11 in una prossima versione del servizio e, occasionalmente, pubblicare aggiornamenti futuri tramite la normale manutenzione di Windows”.

In altre parole, le ultime versioni di Windows ottengono un elenco aggiornato dei driver vietati e presto le edizioni precedenti di Windows 10 e Server riceveranno finalmente un elenco aggiornato del driver verboten che dovrebbe funzionare come previsto, se il blocco è abilitato. Redmond ha tacitamente ammesso che il suo elenco di blocchi non è aggiornato nelle note di rilascio per una versione di anteprima di ottobre per Windows 10, Windows 11 e Windows Server.

“Questa versione di anteprima di ottobre 2022 risolve un problema che aggiorna solo la blocklist per l’intera versione del sistema operativo Windows”, ha scritto Microsoft.

In un post sul blog del 2020, Microsoft ha elencato HVCI come una potente funzionalità di sicurezza supportata da hardware per proteggere le macchine Windows e vantava un modo per mantenere aggiornata la blocklist sui sistemi.

Tuttavia, come recentemente evidenziato da Ars, la blocklist non si aggiorna per tutti i sistemi Windows, una scoperta documentato di Will Dormann, analista di vulnerabilità senior presso Analysis.

Dormann è stato in grado di caricare un driver dannoso noto come WinRing0 su un sistema con lo strumento HVCI abilitato. In seguito ha scoperto che la blocklist dei driver per la macchina Windows 10 con HVCI utilizza una blocklist del 2019. Non ci sono stati aggiornamenti per il sistema Windows 10 per tre anni, il che consente a WinRing0 di eseguire anche gli elenchi successivi che vietano il codice.

All’inizio di questo mese, Microsoft ha riconosciuto le scoperte di Dormann e ha affermato che stava aggiornando i suoi documenti di supporto online con l’aggiunta di un download con le istruzioni per applicare direttamente la versione binaria.

“Stiamo anche risolvendo i problemi nel nostro processo di manutenzione che impedivano ai dispositivi di ricevere gli aggiornamenti dei criteri”, ha scritto Jeffrey Sutherland di Microsoft in un tweet. ®

Leave a Reply

Your email address will not be published. Required fields are marked *