Собственная ошибка Microsoft могла подвергнуть пользователей риску атак вредоносного ПО
Собственная ошибка Microsoft могла подвергнуть пользователей риску атак вредоносного ПО. Фото: СС0
Метод кибератаки, которым можно было вскрыть операционную систему, называется Bring Your Own Vulnerable Driver, или сокращенно BYOVD. Злоумышленники устанавливают старые официальные программные драйверы с известными уязвимостями, на целевые конечные точки.
Установка легального драйвера не приводит к срабатыванию антивируса, но открывает лазейки для злоумышленников, чтобы доставить более опасную полезную нагрузку.
Однако исследователи недовольны тем, как компания решила проблему, поскольку Microsoft создала лишь разовое решение требующее постоянной поддержки.
Количество атак BYOVD значительно выросло за последние пару месяцев, что побудило исследователей из Ars Technica выяснить, работают ли решения Microsoft для проблемы (которые они назвали ПК с «защищенным ядром») должным образом или нет. Именно тогда они поняли, что список не обновлялся довольно долгое время.
Из сообщения исследователя .Дэна Голдина:
«Я хотел убедиться, что эта широко рекламируемая функция блокировки драйверов работает так, как рекламируется, на моем компьютере с Windows 10. Да, целостность памяти была включена в разделе «Безопасность Windows» > «Безопасность устройства» > «Изоляция ядра», но я не видел доказательств того, что список запрещенных драйверов периодически обновлялся».
Администрация Microsoft отклонила первоначальные выводы как не относящиеся. Когда к расследованию присоединились другие исследователи, она изменила свою позицию, заявив, что «исправляет проблемы с процессом обслуживания, которые не позволяют устройствам получать обновления политики».
Из сообщения Microsoft:
«Список уязвимых драйверов регулярно обновляется, однако мы получили отзывы о том, что между версиями ОС существует разрыв в синхронизации. Мы исправили это. Страница документации будет обновляться по мере выпуска новых обновлений».
Хотя администрация Microsoft утверждала, что решила проблему, имея постоянно обновляемый черный список драйверов, исследователи обнаружили, что компания не обновляла этот список примерно три года. Другими словами, любые уязвимые драйверы, обнаруженные за последние 24–36 месяцев, не были добавлены в этот черный список, и злоумышленники могли использовать их, чтобы закрыть уже заделанные дыры в безопасности.
С тех пор Microsoft выпустила новый инструмент, который позволяет пользователям Windows 10 развертывать обновления черного списка, которые были выпущены в течение трех лет.
Из сообщения исследователя .Дэна Голдина:
«Но это единичный процесс обновления. Пока неясно, сможет ли Microsoft автоматически обновлять черный список драйверов через Центр обновления Windows».
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
- Microsoft Office 365 скоро значительно упростит обнаружение угроз безопасности.
- Microsoft предупреждает пользователей Exchange об атаках с побором паролей.
- Atlassian активно используется для компрометации корпоративных сетей.
- Удаленные сервисы становятся привлекательной мишенью для программ-вымогателей.
Комментариев пока не было