Ars Technicaのレポートによると、Microsoftは約3年間、悪意のあるドライバーからWindows PCを適切に保護できまていせんでした。
Microsoftは、Windowsの更新プログラムにより、デバイスによってダウンロードされたブロックリストに新しい悪意のあるドライバーが追加されると述べていますが、Ars Technicaは、これらの更新プログラムが実際には停止していないことを発見しました。
このカバレッジのギャップにより、ユーザーは BYOVDと呼ばれる特定の種類の攻撃に対して脆弱になったり、独自の脆弱なドライバーを持ち込んだりしました。
ドライバーは、コンピューターのオペレーティング システムが、プリンター、グラフィック カード、Web カメラなどの外部デバイスやハードウェアと通信するために使用するファイルです。
ドライバーはデバイスのオペレーティング システムまたはカーネルのコアにアクセスできるため、Microsoftはすべてのドライバーがデジタル署名されていることを要求し、安全に使用できることを証明しています。しかし、デジタル署名された既存のドライバーにセキュリティ ホールがある場合、ハッカーはこれを悪用してWindowsに直接アクセスできます。
これらの攻撃のいくつかが実際に実行されていることをすでに確認しています。8月、ハッカーは、オーバークロックユーティリティMSI AfterBurnerに使用される脆弱なドライバーにBlackByteランサムウェアをインストールしました。
最近の別の事件では、サイバー犯罪者がゲーム「原神インパクト」のアンチチート ドライバーの脆弱性を悪用しました。北朝鮮のハッキング グループ Lazarusは、2021年にオランダの航空宇宙従業員とベルギーの政治ジャーナリストに対してBYOVD 攻撃を仕掛けましたが、セキュリティ会社ESETは先月下旬にそれを明らかにしました。
Ars Technicaが指摘しているように、Microsoftは悪意のあるドライバーから保護することになっているハイパーバイザーで保護されたコード整合性 (HVCI) と呼ばれるものを使用しており、特定の Windowsデバイスではデフォルトで有効になっていると同社は述べています。
しかし、Ars Technicaと、サイバーセキュリティ会社Analygenceの上級脆弱性アナリストである Will Dormann は、この機能が悪意のあるドライバーに対して十分な保護を提供しないことを発見しました。
Microsoftのブロックリストが2019年以降更新されておらず、Microsoft の攻撃面の縮小 (ASR) 機能も悪意のあるドライバーから保護されていないことを発見しました。これは、HVCIが有効になっているデバイスは、約3年間、不正なドライバーから保護されていないことを意味します。
Microsoftは、今月初めまでDormann氏の調査結果に対処していませんでした。「オンラインドキュメントを更新し、バイナリバージョンを直接適用する手順を記載したダウンロードを追加しました」と、Microsoft のプロジェクトマネージャーである Jeffery Sutherland氏は、Dormann氏のツイートへの返信で述べています。
(via The Verge)
Last Updated on 2022年10月17日 by Editor
※このサイトの記事には「噂」や「疑惑」など、不確定な情報が含まれています。ご了承ください。(管理人)
