Microsoft 3 года не обновляла черный список драйверов для Windows — компьютеры были уязвимы все это время

По данным портала Ars Technica, из-за подобного недочета компьютеры были уязвимы для определенного типа атак — BYOVD. Обычно Microsoft требует получения для драйверов собственной электронной подписи, которая свидетельствует о безопасности такого ПО. Однако уже в подписанной драйвере все проверки упустили уязвимость, и хакеры могли использовать его для атак.

Издание приводит в пример вымогательское ПО BlackByte, которое хакеры устанавливали благодаря утилите, использовавшейся для разгона железа — MSI AfterBurner. Microsoft использует защиту целостности кода (Hypervisor-protected code integrity (HVCI)), которая должна защищать ПК от драйверов с уязвимостями. Однако эксперты выяснили, что HVCI не обеспечивает необходимый уровень безопасности.

Специалистам удалось загрузить потенциально вредоносный драйвер на компьютер с активированной HVCI, хотя тот находился в черном списке Microsoft. Список же не обновлялся с 2019 года, функция Attack surface reduction (ASR) также не помогала устранить угрозу, из-за чего компьютеры оставались беззащитными на протяжении трех лет. Пока компания посоветовала пользователям вручную устранять проблему.