Windows неправилно преземаше и не применуваше ажурирања на списокот со блокирани драјвери, што ги остави корисниците ранливи на нови напади на BYOVD.

Повеќе од две години, заштитата на Windows од малициозни драјвери не функционираше, а тој пропуст ги изложи корисниците на Windows на ризик од напади кои зачестија во последните месеци. Иако Microsoft тврдеше дека Windows Update автоматски ќе додаде нови драјвери на блокираната листа, како што пишува Ars Technica, тоа едноставно не функционираше.

Затоа уредите на корисниците на Windows беа ранливи на напад наречен BYOVD („bring your own vulnerable driver“), што му олеснува на напаѓачот со административна контрола да ја заобиколи заштитата на кернелот на Windows. Наместо да пишува експлоат од нула, напаѓачот едноставно инсталира кој било од десетици драјвери од трети страни со познати пропусти.

Излегува дека Windows правилно не преземал и не применувал ажурирања на списокот со блокирани драјвери, што ги остава корисниците ранливи на нови напади на BYOVD.

Драјверите се програми за двигатели што оперативниот систем на компјутерот ги користи за да комуницира со печатачот, веб-камерата, графичката картичка и другите надворешни уреди и хардвер. Бидејќи драјверите можат да пристапат до јадрото на оперативниот систем или јадрото на уредот, каде што се наоѓа најчувствителниот код, Microsoft бара сите драјвери да бидат дигитално потпишани, што докажува дека се безбедни за користење. Но, ако постоечкиот, дигитално потпишан двигател има безбедносен пропуст, хакерите можат да го искористат тоа и да добијат директен пристап до Windows.

Дури и откако програмер ќе ја закрпи ранливоста, старите драјвери остануваат добри кандидати за нападите на BYOVD бидејќи тие се веќе потпишани. Со додавање на овој тип на драјвери, хакерите можат да заштедат неколку недели од развој и тестирање на експлоатацијата.

И хакерите го користат. BYOVD не е нова техника за напад, таа е позната најмалку една деценија. Злонамерниот софтвер Slingshot користи BYOVD од најмалку 2012 година, а други стари корисници на оваа техника ги вклучуваат LoJax, InvisiMole и RobbinHood.

Во текот на изминатите неколку години, имаше пораст на нови напади на BYOVD. Оваа техника беше користена во август од оние кои стојат зад нападот на откупниот софтвер BlackByte, а во 2021 година, озлогласената севернокорејска хакерска група Lazarus изврши напад BYOVD користејќи ранлив драјвер на Dell против вработен во холандска авиокомпанија и политички новинар во Белгија, кој беше откриен дури на крајот на минатиот месец. Во јуни, групата за откуп AvosLocker ја искористи ранливоста во драјверот за анти-руткит на Avast за да избегне скенирање на антивируси.

За да спречи такви напади, Microsoft користи механизми кои го спречуваат Windows да вчитува потпишани, но ранливи драјвери. Еден од нив се нарекува Hypervisor Protected Code Integrity (HVCI), а другиот е познат како ASR (Attack Surface Reduction).

Ars Technica и Вил Дорман, виш аналитичар за ранливост во компанијата за сајбер безбедност Analygence, открија дека HVCI не обезбедува соодветна заштита од малициозни драјвери.

Кон крајот на септември, Дорман објасни на Твитер дека успеал успешно да преземе злонамерен драјвер на уред со овозможен HVCI, иако драјверот бил на блок листата на Microsoft. Подоцна откри дека списокот на блокирани драјвери на Microsoft не бил ажуриран од 2019 година, што значи дека сите уреди со овозможен HVCI не биле заштитени од лоши драјвери речиси три години.

Иако Microsoft тврдеше дека корисниците се заштитени од злонамерни драјвери, компанијата на крајот призна дека има проблем.

„Списокот на ранливи драјвери редовно се ажурира, но добивме повратни информации дека постои јаз во синхронизацијата помеѓу верзиите на ОС“, рече портпаролот на Microsoft во изјава за Ars Technica.

„Го исправивме ова и ќе биде поправено во идните ажурирања на Windows“.