Πώς μια γκάφα της Microsoft εξέθεσε εκατομμύρια υπολογιστές σε επιθέσεις κακόβουλου λογισμικού

Για σχεδόν δύο χρόνια, η Microsoft υπονόμευε μια βασική άμυνα των Windows, αφήνοντας ένα ανεξήγητο σφάλμα που έκανε τους χρήστες του λειτουργικού της, ανοιχτούς σε μια τεχνική μόλυνσης από κακόβουλο λογισμικό που ήταν ιδιαίτερα αποτελεσματική τους τελευταίους μήνες.

Ενώ η Microsoft υποστήριζε σταθερά ότι το Windows Update θα προσθέσει αυτόματα νέα προγράμματα οδήγησης λογισμικού σε μια λίστα αποκλεισμού που έχει σχεδιαστεί για να αποτρέψει ένα πολύ γνωστό τέχνασμα απόκτησης μη εξουσιοδοτημένης πρόσβασης σε απομακρυσμένα συστήματα. Η αυτή, γνωστή ως BYOVD, συντομογραφία του «bring your own vulnerable driver», διευκολύνει έναν εισβολέα με διαχειριστικό έλεγχο να παρακάμψει τις προστασίες του πυρήνα των Windows. Αντί να γράψει ένα exploit από την αρχή, ο εισβολέας απλώς εγκαθιστά οποιοδήποτε από τα δεκάδες προγράμματα οδήγησης τρίτων με γνωστά τρωτά σημεία. Στη συνέχεια, ο εισβολέας εκμεταλλεύεται αυτά τα τρωτά σημεία για να αποκτήσει άμεση πρόσβαση σε ορισμένες από τις πιο ενισχυμένες περιοχές των Windows.

Αποδεικνύεται, ωστόσο, ότι τα Windows δεν κατέβαζαν σωστά και δεν εφάρμοζαν ενημερώσεις στη λίστα αποκλεισμού προγραμμάτων οδήγησης, αφήνοντας τους χρήστες ευάλωτους σε νέες επιθέσεις BYOVD.

Η Microsoft έχει πλήρη επίγνωση της απειλής BYOVD και εργάζεται για να σταματήσει αυτές τις επιθέσεις, κυρίως δημιουργώντας μηχανισμούς που εμποδίζουν τα Windows να φορτώνουν υπογεγραμμένα αλλά ευάλωτα προγράμματα οδήγησης. Ο πιο συνηθισμένος μηχανισμός αποκλεισμού προγραμμάτων οδήγησης χρησιμοποιεί έναν συνδυασμό αυτού που ονομάζεται ακεραιότητα μνήμης και HVCI, συντομογραφία για την "Hypervisor-Protected Code Integrity". Ένας ξεχωριστός μηχανισμός για την αποτροπή εγγραφής κακών προγραμμάτων οδήγησης στο δίσκο είναι γνωστός ως ASR ή Attack Surface Reduction.