Злоумышленники много лет используют для своих дел уязвимые драйверы, и Microsoft трудно бороться с этим, не повредив пользователям устаревшего программного обеспечения. В последние годы лазейка в политике Windows давала злоумышленникам возможность подписывать и загружать перекрёстно подписанные драйверы режима ядра, распространяя вредоносные приложения на миллионы компьютеров. Вредоносные драйверы блокируют, но лазейка сохраняется.
На этой неделе был второй вторник месяца, и Microsoft выпустила обновления своих программных продуктов. В бюллетене по безопасности сообщается, что 133 официально подписанных Microsoft драйвера использовались злоумышленниками для распространения вредоносного кода. Жертвами стали в первую очередь китайские пользователи, но этот метод может работать для любой другой страны.
Специалисты по безопасности из Cisco Talos сообщают, что лазейка в политике Windows позволяет загружать подписанные до 29 июля 2015 года драйверы. Применяя инструменты с открытым исходным кодом, вроде HookSignTool и FuckCertVerifyTimeValidity, можно скомпилировать новые драйверы и подписать их посредством сертификатов подписи кода старых драйверов. Это позволяет загружать вредоносные драйверы в системы Windows.
Подобная политика Microsoft создана для обеспечения совместимости со старым программным обеспечением, чтобы загружать его на Windows 10 и 11. Описанные выше программы популярны среди создателей игровых читов и при обхождении цифровой защиты в приложениях и играх.
Как сказано выше, Microsoft заблокировала сами драйверы, а также аккаунты их разработчиков. Последняя версия защитника Windows при сканировании находит вредоносные драйверы. Также вторничные патчи содержат список, который запретит Windows скачивать эти драйверы.
Таким образом, от Microsoft требуется найти баланс между обеспечением совместимости со старым программным обеспечением, за которую ценят Windows, и безопасностью, пишет Techspot.