Microsoft blundert: miljoenen pc's vatbaar voor malware-aanvallen

17 reacties

Volgens Microsoft blokkeert Windows automatisch gevaarlijke stuurprogramma's. Dat blijkt dus niet zo te zijn. Twee jaar lang hebben aanvallers gebruik kunnen maken van een malware-infectie-exploit die bekend staat als 'BYOVD' (bring your own vulnerable driver).

Een aanvaller met administratieve rechten kan eenvoudig de Windows-kernelbeveiliging omzeilen. In plaats van een nieuwe exploit te schrijven, installeert de aanvaller gewoon een van de tientallen stuurprogramma's van derden met bekende kwetsbaarheden. Vervolgens maakt de aanvaller misbruik van deze kwetsbaarheden om direct toegang te krijgen tot enkele van de meest beveiligde omgevingen van Windows. Het blijkt dat Windows niet op de juiste manier updates download en toepast op de blokkeerlijst van stuurprogramma's. Hierdoor zijn gebruikers kwetsbaar voor nieuwe BYOVD-aanvallen.

HVCI is de schuldige

HVCI staat voor Hypervisor-Protected Code Integrity en, naast tpm 2.0, firmware-ondersteuning voor Security Mitigation Table-bescherming en enkele optionele uefi-functies, maakt deel uit van Virtualization-based Security - kortweg VBS - onder Windows 11 en Windows 10. In de regel is HVCI (bekend als kernisolatie) uitgeschakeld op de meeste pc's. Bij bedrijfs-pc's en gebruikers van een Microsoft Surface wordt de functie vaak ingeschakeld. Hierdoor zijn miljoenen systemen kwetsbaar. In tegenstelling tot de belofte van Microsoft kunnen ook kwetsbare driverversies worden geladen.

Microsoft 'vergeet' blokkeerlijst up-to-date te houden

Als een pc zo'n kwetsbaar stuurprogramma heeft, kunnen hackers gemakkelijk misbruik maken van dit beveiligingslek. Het doel van geheugenintegriteit, oftewel kernisolatie, is om te voorkomen dat niet-ondertekende stuurprogramma's of systeembestanden in het Windows-geheugen worden geladen. Microsoft houdt een blokkeerlijst bij van verouderde stuurprogramma's die niet kunnen worden geïnstalleerd. Blijkbaar is het bedrijf uit Redmond vergeten deze lijst up-to-date te houden. De blokkeerlijst onder Windows 10 wordt sinds 2019 niet automatisch bijgewerkt en moet daarom handmatig door de gebruiker of beheerder worden geïmporteerd.

Volgens Microsoft waren er problemen geweest met Windows-updates, waardoor de blokkeerlijst niet automatisch werd bijgehouden. Een up-to-date driverblokkeringslijst wordt alleen automatisch geleverd bij Windows 11.

Zelf blokkeerlijst downloaden

Als je niet afhankelijk wilt zijn van automatische updates, dan kan de blokkeerlijst voor kwetsbare stuurprogramma's zelf worden gedownload en geactiveerd.

Als alternatief kan kernisolatie handmatig gedeactiveerd worden.

Met toekomstige Windows-updates zal Microsoft opnieuw automatisch een lijst met stuurprogrammablokkeringen leveren onder Windows 10.

Bron: Ars Technica


6 besproken producten

Vergelijk alle producten

Vergelijk   Product Prijs
Microsoft Windows 10 Home 32-bit NL

Microsoft Windows 10 Home 32-bit NL

  • Windows 10
  • OEM
  • Nederlands
  • 32-bit

€ 139,00

3 winkels
Microsoft Windows 10 Home 64-bit NL

Microsoft Windows 10 Home 64-bit NL

  • Windows 10
  • OEM
  • Nederlands
  • 64-bit

€ 40,95

17 winkels
Microsoft Windows 10 Pro 32-bit NL

Microsoft Windows 10 Pro 32-bit NL

  • Windows 10
  • OEM
  • Nederlands
  • 32-bit

€ 180,29

2 winkels
Microsoft Windows 10 Pro 64-bit NL

Microsoft Windows 10 Pro 64-bit NL

  • Windows 10
  • OEM
  • Nederlands
  • 64-bit

€ 159,00

15 winkels
Microsoft Windows 11 Home (NL)

Microsoft Windows 11 Home (NL)

  • Volledige versie
  • Nederlands
  • 64-bit

€ 116,95

9 winkels
Microsoft Windows 11 Pro (NL)

Microsoft Windows 11 Pro (NL)

  • Windows 11
  • OEM
  • Nederlands
  • 64-bit

€ 89,99

18 winkels
« Vorig bericht Volgend bericht »
0

Hardware Info maakt gebruik van cookies

Hardware Info plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Hardware Info relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie.

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Hardware Info contextuele advertenties te tonen op basis van pagina's die je hebt bezocht.

    janee

    Hardware Info genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Hardware Info gevolgd worden. Deze data wordt maximaal 2 weken bewaard. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden.

    janee