Volgens Microsoft blokkeert Windows automatisch gevaarlijke stuurprogramma's. Dat blijkt dus niet zo te zijn. Twee jaar lang hebben aanvallers gebruik kunnen maken van een malware-infectie-exploit die bekend staat als 'BYOVD' (bring your own vulnerable driver).
Een aanvaller met administratieve rechten kan eenvoudig de Windows-kernelbeveiliging omzeilen. In plaats van een nieuwe exploit te schrijven, installeert de aanvaller gewoon een van de tientallen stuurprogramma's van derden met bekende kwetsbaarheden. Vervolgens maakt de aanvaller misbruik van deze kwetsbaarheden om direct toegang te krijgen tot enkele van de meest beveiligde omgevingen van Windows. Het blijkt dat Windows niet op de juiste manier updates download en toepast op de blokkeerlijst van stuurprogramma's. Hierdoor zijn gebruikers kwetsbaar voor nieuwe BYOVD-aanvallen.
HVCI is de schuldige
HVCI staat voor Hypervisor-Protected Code Integrity en, naast tpm 2.0, firmware-ondersteuning voor Security Mitigation Table-bescherming en enkele optionele uefi-functies, maakt deel uit van Virtualization-based Security - kortweg VBS - onder Windows 11 en Windows 10. In de regel is HVCI (bekend als kernisolatie) uitgeschakeld op de meeste pc's. Bij bedrijfs-pc's en gebruikers van een Microsoft Surface wordt de functie vaak ingeschakeld. Hierdoor zijn miljoenen systemen kwetsbaar. In tegenstelling tot de belofte van Microsoft kunnen ook kwetsbare driverversies worden geladen.
Microsoft 'vergeet' blokkeerlijst up-to-date te houden
Als een pc zo'n kwetsbaar stuurprogramma heeft, kunnen hackers gemakkelijk misbruik maken van dit beveiligingslek. Het doel van geheugenintegriteit, oftewel kernisolatie, is om te voorkomen dat niet-ondertekende stuurprogramma's of systeembestanden in het Windows-geheugen worden geladen. Microsoft houdt een blokkeerlijst bij van verouderde stuurprogramma's die niet kunnen worden geïnstalleerd. Blijkbaar is het bedrijf uit Redmond vergeten deze lijst up-to-date te houden. De blokkeerlijst onder Windows 10 wordt sinds 2019 niet automatisch bijgewerkt en moet daarom handmatig door de gebruiker of beheerder worden geïmporteerd.
Volgens Microsoft waren er problemen geweest met Windows-updates, waardoor de blokkeerlijst niet automatisch werd bijgehouden. Een up-to-date driverblokkeringslijst wordt alleen automatisch geleverd bij Windows 11.
Zelf blokkeerlijst downloaden
Als je niet afhankelijk wilt zijn van automatische updates, dan kan de blokkeerlijst voor kwetsbare stuurprogramma's zelf worden gedownload en geactiveerd.
- Download het hulpprogramma voor het bijwerken van het WDAC-beleid
- Download de kwetsbare binaire bestanden met de blokkeerlijst van stuurprogramma's
- Kies uit de 'audit' of 'enforced' versie van het gedownloade bestand en hernoem het naar SiPolicy.p7b
- Kopieer SiPolicy.p7b naar %windir%\system32\CodeIntegrity
- Voer de WDAC Policy Update Tool uit die in stap 1 hierboven is gedownload om alle WDAC-beleidsregels op uw computer in te schakelen en bij te werken
Als alternatief kan kernisolatie handmatig gedeactiveerd worden.
Met toekomstige Windows-updates zal Microsoft opnieuw automatisch een lijst met stuurprogrammablokkeringen leveren onder Windows 10.
Bron: Ars Technica
6 besproken producten
| Vergelijk | Product | Prijs | |
|---|---|---|---|
|
Microsoft Windows 10 Home 32-bit NL
|
€ 138,003 winkels |
|
|
Microsoft Windows 10 Home 64-bit NL
|
€ 45,9516 winkels |
|
|
Microsoft Windows 10 Pro 32-bit NL
|
€ 184,001 winkel |
|
|
Microsoft Windows 10 Pro 64-bit NL
|
€ 159,009 winkels |
|
|
Microsoft Windows 11 Home (NL)
|
€ 116,956 winkels |
|
|
Microsoft Windows 11 Pro (NL)
|
€ 65,6918 winkels |
