Список заблокированных уязвимых драйверов что это
Перейти к содержимому

Список заблокированных уязвимых драйверов что это

  • автор:

KB5020779 — список блокировок уязвимых драйверов после выпуска предварительной версии за октябрь 2022 г.

Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core 2019 LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions Windows 11 version 21H2, all editions Windows 11 version 22H2, all editions Windows Server 2022 Еще. Меньше

Сводка

Корпорация Майкрософт представила список блокировок уязвимых драйверов в качестве дополнительной функции в Windows 10, версия 1809. Список блокировок включен в системах, которые включают защищенную гипервизором целостность кода (HVCI) или запускают Windows в S-режиме. Начиная с Windows 11 версии 22H2 список блокировок также включен по умолчанию на всех устройствах. Его можно включить и отключить с помощью приложения Безопасность Windows.

ПримечаниеПриложение Безопасность Windows обновляется отдельно от ОС и поставляется в комплекте. Версия с переключателем находится в окончательном кольце проверки и будет поставляться всем клиентам очень скоро.

В этом предварительном выпуске за октябрь 2022 г. устранена проблема, которая обновляет список блокировок только для полных выпусков ОС Windows. При установке этого выпуска список блокировок в более ранних версиях ОС будет таким же, как в Windows 11 версии 22H2 и более поздних. Дополнительные сведения см. в статье Правила блокировки драйверов, рекомендованные корпорацией Майкрософт.

Совместимость

Блокировка драйверов может привести к сбоям устройств или программного обеспечения. В редких случаях это приводит к стоп-ошибке. Нет никакой гарантии, что список блокировок заблокирует все драйверы, у которого есть слабые места. Чтобы создать список блокировок, корпорация Майкрософт пытается сбалансировать риски безопасности, связанные с уязвимыми драйверами, и потенциальное влияние на совместимость и надежность.

Отключение списка блокировок в системах Windows 10 и Windows 11 версии 21H2

  • Отключите целостность памяти (HVCI), если применимо. См. раздел Защита устройств в Безопасность Windows.
  • Отключите Windows в S-режиме, если применимо. См. раздел Переключение из S-режима в Windows.

Отключение списка блокировок в системах Windows 11 версии 22H2

  1. Откройте приложение Безопасность Windows.
  2. На панели Безопасность устройства перейдите на страницу изоляции ядра .
  3. Установите состояние списка блокировок уязвимых драйверов (Майкрософт) в значение "Выкл.".
  4. Перезапустите устройство.

Microsoft исправит обновление «Списка заблокированных уязвимых драйверов» в Windows 10 и Windows 11 во Вторник Патчей

Компания Microsoft выпустила предварительные версии накопительных обновлений для Windows 11, версия 22H2, Windows 11, версия 21H2 и Windows 10, версия 22H2, 21H2, 21H1, которые станут общедоступным в ближайший «Вторник Патчей» (Patch Tuesday), 8 ноября 2022 года. Обновление не связано с безопасностью и содержит улучшения панели задач, учетной записи Microsoft и Диспетчера задач, а также исправление проблемы обновления списка заблокированных уязвимых драйверов.

Предварительные версии доступны для Windows 10 и Windows 11 и содержит преимущественно улучшения функций и исправления известных проблем.

Тем не менее, одна из исправленных проблем все же связана с безопасностью. «Список заблокированных уязвимых драйверов (Майкрософт)» (Vulnerable Driver Blocklist) — функция усиления безопасности, представленная Windows 10 версии 1809 и включенная по умолчанию в Windows 11, версия 22H2.

Как было обнаружено ранее в октябре, Microsoft не могла обновить список заблокированных уязвимых драйверов новыми экземплярами атак, в которых использовались правильно подписанные, но уязвимые сторонние драйверы (например, для принтеров, материнских плат и другого оборудования). Опытные злоумышленники обожают уязвимые драйверы, потому что они должным образом подписаны производителями и имеют привилегированный доступ к ядру Windows.

Microsoft впервые столкнулась с этой атакой с использованием подписанного уязвимого драйвера на своих ПК SecureCore, выпущенных в 2020 году. В 2021 году компания заявила о выявлении 50 производителей, которые выпускали потенциально уязвимые драйвера.

ПК Secured-Core поставлялись с включенной по умолчанию функцией проверки целостности кода, защищенной гипервизором (HVCI), которая должна была заблокировать загрузку этих драйверов. Однако, HVCI необходимо было включить для Windows 10, версия 1809 и более поздних версий, чтобы был применен черный список уязвимых драйверов. В Windows 11, версия 22H2 список блокировки включен по умолчанию на всех устройствах, а не только на Secured-Core.

В октябре известный аналитик уязвимостей Уилл Дорманн (Will Dormann), отметил, что в его системе с поддержкой HVCI загружается недавно добавленный в список блокировки драйвер. После этого он усомнился в правдивости заявлений Microsoft по этой функции.

Позже Microsoft объяснила, что неудачные обновления списка блокировки были связаны с обновлением только для «полных выпусков ОС Windows». До конца неясно, что это означает: ранее установленную Windows по сравнению с новыми установками, или просто, что старые версии Windows используют необновленный черный список.

На странице поддержки сообщается:

В этом предварительном выпуске за октябрь 2022 г. устранена проблема, которая обновляет черный список только для полных выпусков ОС Windows. При установке этого выпуска список блокировки для более старых версий ОС будет таким же, как список блокировки для Windows 11, версия 21H2 и более поздних версий».

Microsoft сообщила, что на самом деле регулярно обновляет список уязвимых драйверов, но «пробел в синхронизации между версиями ОС» все-таки существует.

Предварительное обновление KB5018496 (Build 22621.755) должно стать общедоступным и начать распространяться через Центр обновления Windows во «Вторник Патчей».

В примечаниях к выпуску значится следующее изменение:

Обновлен DriverSiPolicy.p7b для блок-листа уязвимых драйверов ядра Windows. Это обновление включает драйверы, уязвимые к атакам Bring Your Own Vulnerable Driver (BYOVD). Обновление также гарантирует, что черный список одинаков в Windows 10 и Windows 11.

Другие изменения

Обновление изменяет визуальное оформление поиска на панели задач, чтобы повысить удобство поиска. Первоначально это изменение доступно для небольшой аудитории. Microsoft не говорит, какие именно визуальные изменения применены, но указывает на окно поиска на панели задач.

Кроме того, в ближайшие недели все пользователи смогут щелкнуть правой кнопкой мыши панель задач, чтобы открыть диспетчер задач в контекстном меню.

Microsoft добавляет новая форма согласия для тех, кто участвует в программе Windows Hello Face и Fingerprint. Согласно Microsoft, «у пользователей появился новый выбор в отношении биометрических данных».

Необязательные исправления «типа С» предлагаются для системных администраторов, чтобы на протяжении трех недель они могли протестировать доступные патчи и улучшения до того, как они станут частью обязательного накопительного выпуска «типа B» в следующий «Вторник патчей».

В этом обновлении также улучшены возможности резервного копирования при использовании учетной записи Microsoft. Кроме того, пользователи смогут управлять подписками OneDrive и связанными с ними предупреждениями о хранилище через приложение «Параметры», если они вошли в систему с помощью учетной записи Microsoft.

Для корпоративных пользователей доступно несколько исправлений для режима Microsoft Edge IE, функции, которую Microsoft предлагает для устаревших бизнес-приложений, оптимизированных под Internet Explorer. Устранена проблема, из-за которой в режиме Edge IE не открывались веб-страницы, если включен Windows Defender Application Guard (WDAG), но не настроены политики сетевой изоляции.

Новая функция безопасности в Microsoft Defender защищает от вредоносных и уязвимых драйверов

Microsoft Vulnerable Driver Blocklist (список блокировки уязвимых драйверов) — новая функция безопасности Microsoft Defender (Защитника Windows) в Windows 10, Wndows 11 и Windows Server 2016 (и выше), которая защищает от вредоносных и уязвимых драйверов

Новая функция «Список блокировки уязвимых драйверов» (Microsoft Vulnerable Driver Blocklist) была анонсирована Дэвидом Уэстоном (David Weston), директором по корпоративной безопасности и безопасности ОС Microsoft, в твиттере. Она по умолчанию включена на устройства Windows 10 в S-режиме, а также на устройствах с включенной защитой целостности памяти на основе гипервизора, которая является функцией изоляцией ядра.

Защита целостности кода или Hypervisor-protected code integrity (HVCI) использует технологию виртуализации Microsoft под названием Hyper-V для защиты процессов режима ядра против инъекций вредоносного кода. Когда новый функционал поставлялся в текущие системы, он не был активен, но включался на новых установках Windows.

Некоторые пользователи сообщали о проблемах при включении HVCI, причем отключение технологии, как правило, исправляло ошибки.

Основная идея новой защитной функции заключается в поддержании списка драйверов, которые будут заблокированы Защитником Windows, если драйверы соответствуют хотя бы одному из следующих критериев:

  • Известные уязвимости в системе безопасности, которые злоумышленники могут использовать для повышения привилегий в ядре Windows.
  • Вредоносное поведение (вредоносное ПО) или сертификаты, используемые для подписи вредоносного ПО
  • Действия, которые не являются вредоносными, но обходят модель безопасности Windows и могут быть использованы злоумышленниками для повышения привилегий в ядре Windows.

Microsoft сотрудничает с поставщиками оборудования и OEM-производителями для формирования списка блокировки. Подозрительные драйверы могут быть отправлены в Microsoft для анализа, а производители могут запросить внесение изменений в драйверы, которые находятся в черном списке.

Устройства, работающие под управлением Windows 10 в S-режиме, и устройства с включенным HVCI защищают от этих угроз безопасности после развертывания этой функции на устройствах.

Как включить защиту от уязвимых драйверов

Администраторы Windows могут включить необходимое условие целостности памяти на устройствах Windows без S-режима, следующим образом:

  • Перейдите в Пуск > Параметры или используйте сочетание клавиш Windows — I , чтобы открыть приложение «Параметры».
  • В Windows 10 перейдите в раздел Обновление и безопасность > Безопасность Windows. Выберите Открыть службу «Безопасность Windows».
  • В Windows 11 перейдите в раздел Конфиденциальность и защита > Безопасность Windows >Открыть службу «Безопасность Windows».
  • Выберите Безопасность устройства на боковой панели слева.
  • Нажмите ссылку Сведения об изоляции ядра.
  • Установите для параметра Целостность памяти значение Вкл., чтобы включить эту функцию.
  • Перезагрузите устройство.

Администраторы Windows увидят новый черный список уязвимых драйверов Майкрософт на странице изоляции ядра в приложении «Безопасность Windows», как только эта функция станет доступной. Эту функцию можно включать и выключать, а также управлять ею с помощью других средств. Дэвид Уэстон отмечает, при включении функции создается более агрессивный черный список.

Microsoft рекомендует включать HVCI или использовать S-режим, но администраторы также могут блокировать драйверы в списке с помощью существующей политики управления приложениями Защитника Windows. В документации указан XML-файл, содержащий готовые к использованию заблокированные драйверы.

Microsoft начнёт обновлять список уязвимых драйверов

Microsoft начнёт обновлять список уязвимых драйверов

Однако последнее обновление было в 2019 году. После двух лет бездействия список наконец-то обновился, правда, не для всех пользователей Windows сразу.

В Microsoft заявили, что черный список, используемый инструментом целостности кода, защищенного гипервизором (HVCI), отныне будет обновляться один или два раза в год.

Из сообщения компании:

«Черный список обновляется с каждым новым основным выпуском Windows, как правило, 1-2 раза в год, в том числе последний раз с обновлением Windows 11 2022, выпущенным в сентябре 2022 года. Самый последний черный список теперь также доступен для пользователей Windows 10 20H2 и Windows 11 21H2 в качестве необязательного обновления из Центра обновления Windows. Microsoft будет время от времени публиковать будущие обновления посредством регулярного обслуживания Windows».

Пользователи, которым всегда нужны последние обновления черного списка драйверов, могут использовать Windows Defender Application Control (WDAC) для загрузки последнего варианта документа. Для удобства компания предоставила загрузку самого актуального блоклиста уязвимых драйверов, а также инструкции по его применению, которые можно найти здесь.

В последнее время Microsoft получает много критики за отсутствие обновлений в черном списке уязвимых драйверов — в основном из-за того, что количество атак с использованием специального метода резко возросло.

Он называется «Принеси свой собственный уязвимый драйвер» (BYOVD) и довольно прост: субъект угрозы обманом заставит жертву, обычно с помощью социальной инженерии или фишинга, загрузить драйвер Windows с известной своей уязвимостью.

Будучи подписанным, он не вызывает никаких предупреждений антивирусных служб или служб защиты конечных точек. Он просто устанавливается, как и любая другая невредоносная вещь. Неисправный драйвер дает хакерам доступ к устройству, которое они впоследствии могут использовать для любых других атак, которые сочтут нужными — программ-вымогателей, ботнетов, кражи данных и т. д.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

  • Стресс отталкивает специалистов по кибербезопасности от отрасли.
  • Расширения Chrome с 1 миллионом установок взламывают целевые браузеры.
  • Яндекс 360 усилил защиту Диска.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *