微软过时驱动程序列表让Windows PC易受恶意软件攻击

据Ars Technica报道，在过去的三年中，微软无法正确保护Windows PC免受恶意驱动程序的侵害。 微软表示，Windows Update在根据设备下载的阻止列表中添加了新的恶意驱动程序，但这些列表不起作用。

由于设备方面的差异，用户容易受到“带走自己脆弱的驱动器”( bring your own vulnerable driver，BYOVD )的攻击。

驱动程序是计算机操作系统用于与外部设备和硬件(如打印机、显卡和网络摄像头)进行通信的文件。 由于驱动程序可以访问设备的操作系统或内核核心，微软必须对所有驱动程序进行数字签名，以证明其安全使用。 但是，如果现有的数字签名驱动程序存在安全漏洞，黑客可以利用该漏洞直接访问。

有证据表明黑客用这种方法发动了攻击。 8月，黑客向超频实用程序MSIAfterBurner下手，在这个有缺陷的驱动程序上安装了BlackByte恐吓软件。 最近此类事件的另一个原因是网络罪犯利用了游戏Genshin Impact中的反欺诈驱动程序漏洞。

朝鲜黑客组织Lazarus于2021年对荷兰航空航天员工和比利时政治记者发动了BYOVD攻击，但安全公司ESET直到上个月末才曝光。

正如Ars Technica指出的，微软使用了一种叫做虚拟机管理程序保护代码完整性( HVCI )的产品，应该可以防止恶意驱动程序。 该公司表示，某些Windows设备默认启用此驱动程序。

但Ars Technica和网络安全公司Analygence的高级漏洞分析师Will Dormann发现，该功能无法充分保护恶意驱动程序。

在9月发布在Twitter上的帖子中，Dormann解释说可以在支持HVCI的设备上正常下载恶意驱动程序。 即使是在微软的屏蔽名单上。

之后，微软的黑名单自2019年以来没有更新过，而且微软的攻击面减少( ASR )功能也无法抵挡恶意的司机。 这意味着启用HVCI的设备在大约三年的时间内不受故障驱动器的保护。

微软在本月初修复了这个问题。 Microsoft项目经理Jeffery Sutherland在Dormann的推文中写道：“我们添加了下载，其中包括更新在线文档和直接应用安装包版本的步骤。 我们还在解决服务流程的问题。 由于这些问题，设备无法获得策略更新。”

微软发言人表示：“我们收到的反馈是，虽然易受攻击的驱动程序列表会定期更新，但操作系统版本之间的同步存在差异。 此问题将得到修复，未来和未来的Windows更新将提供服务。 文档页面将在发布新更新时更新”。