Бесплатно Экспресс-аудит сайта:

18.10.2022

Как ошибка инженеров Microsoft сделала уязвимыми миллионы пользователей Windows

В течение почти 2-х лет специалисты Microsoft нарушали ключевую защиту Windows, что сделало миллионы клиентов уязвимыми для заражения вредоносным ПО, который был особенно эффективен в последние месяцы.

Microsoft заявляет, что Центр обновления Windows автоматически добавляет новые программные драйверы в черный список для предотвращения известного метода заражения вредоносным ПО под названием BYOVD (Bring Your Own Vulnerable Driver).

Этот метод позволяет злоумышленнику с привилегиями администратора легко обойти защиту ядра Windows. Вместо того, чтобы писать эксплойт с нуля, киберпреступник просто устанавливает сторонний драйвер с известными уязвимостями. Затем он использует эти уязвимости, чтобы получить мгновенный доступ к некоторым из наиболее защищенных областей Windows.

Оказалось, что Windows неправильно загружала и применяла обновления к черному списку драйверов, что делало пользователей уязвимыми для новых BYOVD-атак.

Более того, даже легитимные драйверы иногда содержат уязвимости, которые приводят к повреждению памяти или позволяют хакерам внедрить свой вредоносный код непосредственно в ядро. Даже после исправления недостатков старые драйверы с ошибками останутся доступны для BYOVD-атак, поскольку они уже подписаны.

Microsoft знает об угрозе BYOVD и работает над защитой. Чтобы остановить эти атаки, компания создает блокирующие механизмы, не позволяющие Windows загружать подписанные и уязвимые драйверы.

Ранее стало известно, что группировка BlackByte использует технику BYOVD для эксплуатации уязвимости в драйвере MSI Afterburner RTCore64.sys , позволяющей хакерам повышать привилегии и выполнять произвольный код.