微软过时驱动程序列表让 Windows PC 易受恶意软件攻击

援引 Ars Technica 报道，微软近三年来始终无法正确保护 Windows PC 免受恶意驱动程序的侵害。

尽管微软表示其 Windows Update 根据设备的不同将新的恶意驱动程序添加到已下载的阻止列表中，但这些列表并未奏效。

由于设备方面的差距让用户非常容易受到“带上自己脆弱的驱动”（bring your own vulnerable driver，BYOVD）攻击。

驱动程序是计算机操作系统用来与外部设备和硬件（例如打印机、显卡或网络摄像头）通信的文件。由于驱动程序可以访问设备操作系统或内核的核心，因此微软要求所有驱动程序都经过数字签名，以证明它们可以安全使用。

但是，如果现有的数字签名驱动程序存在安全漏洞，黑客可以利用此漏洞直接访问。

目前已经有证据表明黑客利用这种方式发起攻击。8 月，黑客对用于超频的实用程序 MSI AfterBurner 下手，在这个存在缺陷的驱动程序上安装了 BlackByte 勒索软件。近期另一件此类事件是网络犯罪分子利用游戏 Genshin Impact 的反作弊驱动程序中的漏洞。

朝鲜黑客组织 Lazarus 于 2021 年对荷兰的一名航空航天雇员和比利时的一名政治记者发动了 BYOVD 攻击，但安全公司 ESET 直到上个月底才曝光。

正如 Ars Technica 所指出的，微软使用了一种称为虚拟机管理程序保护代码完整性 (HVCI) 的东西，它应该可以防止恶意驱动程序，该公司表示，某些 Windows 设备默认启用该驱动程序。

然而，Ars Technica 和网络安全公司 Analygence 的高级漏洞分析师 Will Dormann 都发现，此功能无法为恶意驱动程序提供足够的保护。

在 9 月发布到 Twitter 的帖子中，Dormann 解释说，他能够在支持 HVCI 的设备上成功下载恶意驱动程序，即使该驱动程序在微软的阻止列表中。

他后来发现，微软的黑名单自 2019 年以来就没有更新过，而且微软的攻击面减少 (ASR) 功能也无法抵御恶意驱动程序。这意味着任何启用了 HVCI 的设备在大约三年内都没有受到不良驱动程序的保护。

微软于本月初修复了这个问题。微软项目经理 Jeffery Sutherland 在回复 Dormann 的推文时说：“我们已经更新了在线文档并添加了一个下载，其中包含直接应用安装包版本的说明。我们还在解决我们的服务流程中的问题，这些问题导致设备无法接收政策更新”。

微软发言人表示：“易受攻击的驱动程序列表会定期更新，但我们收到的反馈是操作系统版本之间的同步存在差距。我们已更正此问题，并将在即将到来的和未来的 Windows 更新中提供服务。文档页面将随着新更新的发布而更新”。