Windows

Microsoft は、脆弱なドライバーのブロックリストが古いバージョンの Windows を実行しているシステムに同期されない問題に対処したことを発表しました

このブロックリストは、HVCI が有効な Windows マシンまたは S モードで Windows を実行しているマシンに対する、脆弱なドライバーの持ち込み (BYOVD) 攻撃で、攻撃者がターゲットのシステムに正当ではあるが脆弱なドライバーをドロップするのをブロックするように設計されています。

脆弱性のあるドライバーが悪用されて、Windows カーネル内の特権が昇格され、悪意のあるコードが実行され、セキュリティ ソリューションが無効になり、デバイスが制御されます。

これは、 ランサムウェアグループから国家が支援するハッキング グループまで、あらゆるスキル レベルの攻撃者の間でよく知られた一般的な攻撃手法です。

Microsoft は、脆弱なサードパーティ製ドライバーに対して Windows システムを強化できるドライバー ブロックリストを公表してきましたが、ANALYGENCE のセキュリティ アナリストである Will Dormann は、そうではないことを発見しました。

Dormann が発見したように、Windows 11 デバイスとは異なり、最新の Windows 10 および Windows Server システムでさえ、脆弱なドライバーの古いリストが2019 年 12 月から提供されており、BYOVD 攻撃から保護されていると思っていたユーザを危険にさらしていました。

マイクロソフトはしぶしぶ調査結果を認め、この問題に対処し、誤解を招くオンライン サポート ドキュメントを更新することを約束しました。

ドライバーブロックリストの同期が最終的に修正

Windows 10 および一部の Windows Server システムで脆弱なドライバーのリストが最新に保たれていないことを Dormann が明らかにしてから 1 か月以上が経過し、Microsoft はついにこの問題に対処しました。

「脆弱なドライバーのリストは定期的に更新されていますが、OS のバージョン間で同期にギャップがあるというフィードバックを受け取りました」と Microsoft の広報担当者は語っています。

「こちらはすでに修正しました。今後の Windows Update で提供される予定です。新しい更新プログラムがリリースされると、ドキュメント ページが更新されます。」

2022 年 10 月のプレビュー リリースでドライバーのブロックリストの同期の問題に対処しました。

これにより、古い OS バージョンのブロックリストが Windows 11 21H2 以降の最新のものと同じになることも保証されます。

2022 年 10 月のプレビュー リリース以降、ブロックリストもすべてのデバイスでデフォルトで有効になります。

それでも、ユーザはWindows セキュリティ アプリを使用して、 HVCI (メモリの整合性) をオフにするか、S モードで Windows を無効にすることにより、これをオフにすることができます。

「ドライバーをブロックすると、デバイスやソフトウェアが誤動作する可能性があります。まれに、停止エラーが発生することがあります」と Microsoft は火曜日に警告しました。 「ブロックリストが弱点を持つすべてのドライバーをブロックするという保証はありません。」