| mmyuer | 2022-04-08 09:41 |
|
驱动程序是系统运行所必须的,而各类组件和配件也需要驱动程序才能正常工作,但有些驱动并非微软开发。 不同规模的硬件制造商发布的驱动程序安全性也存在差异,因此有些驱动程序可能存在漏洞而被攻击者利用。 微软企业和操作系统安全副总裁大卫韦斯顿发布截图显示,微软的 Microsoft Defender 将增加新拦截功能。 该功能可以拦截驱动程序相关的恶意行为包括恶意类型的驱动程序,避免企业部署驱动时存在潜在安全弱点。  ▲新增的易受攻击的驱动程序阻止列表 易受攻击的驱动程序阻止列表: 这个新功能名为易受攻击的驱动程序阻止列表,该功能是微软最近添加的目前可能正在逐步向用户推送更新。 该功能适用于 Windows 10、Windows 11、Windows Server 2016 及以上所有目前在受微软支持的版本。 当启用此功能后微软防病毒软件会拦截利用合法驱动漏洞或签名制作的恶意驱动程序或在内核运行恶意软件。 简单来说就是如果有驱动程序签名泄露或存在漏洞,攻击者可以利用或开发商合法的数字签名运行恶意软件。 通过阻止列表微软仅允许运行正常的驱动程序,如果攻击者尝试绕过安全模型或进行权限提升都会自动阻止。 微软称该功能主要有以下特点:阻止攻击者利用漏洞提权、阻止合法证书签署恶意软件、阻止绕过安全模型。  ▲使用英伟达签名的恶意软件 很有可能是英伟达被攻击的后遗症: 还记得本月初芯片制造商英伟达遭到黑客攻击并泄露机密数据吗?当时英伟达驱动程序的数字签名也被泄露。 有攻击者利用英伟达的数字签名签署恶意软件,但比较尴尬的是英伟达无法吊销证书微软也无法拦截其安装。 主要是吊销证书或拦截安装会导致英伟达此前发布的大量软件和驱动程序无法工作,这可能会造成严重影响。 微软当时都表示对这种情况暂时无能为力,此次推出的新功能看起来就像是针对英伟达这种情况量身定做的。 该功能如果完成推送且默认开启,则无论攻击者利用英伟达驱动漏洞还是数字证书签署恶意软件都可以拦截。 尽管微软在支持文档里没有提到英伟达,但蓝点网认为这就是英伟达被攻击的后遗症,微软正在想办法应对。 当然这也可以应对其他类似的情况,毕竟在过去硬件制造商们泄露数字证书这种事儿已经出现过很多很多次。 |
|