微软表示,它解决了阻止 Windows 内核易受攻击的驱动程序阻止列表同步到运行旧 Windows 版本的系统的问题。
此阻止 列表(存储在 DriverSiPolicy.p7b 文件中)旨在阻止威胁行为者在目标系统上丢弃合法但易受攻击的驱动程序,以对启用 HVCI 的 Windows 机器或在 S 模式下运行 Windows 的机器进行自带易受攻击的驱动程序 (BYOVD) 攻击.
然后利用有缺陷的驱动程序来提升 Windows 内核中的权限并执行恶意代码,禁用安全解决方案并控制设备。
这是一种广为人知且流行的攻击技术,在所有技能水平的威胁参与者中,从勒索软件团伙到国家资助的黑客组织。
尽管微软一直在宣传其驱动程序黑名单能够针对易受攻击的第三方驱动程序强化 Windows 系统,但 ANALYGENCE 安全分析师 Will Dormann发现情况并非如此。
正如 Dormann 发现的那样,与 Windows 11 设备不同,从 2019 年 12 月起,即使是最新的 Windows 10 和 Windows Server 系统也提供了过时的易受攻击的驱动程序列表,从而使认为自己受到 BYOVD 攻击的客户暴露。
微软不情愿地承认了他的发现,并承诺解决这个问题并更新其误导性的在线支持文档。
驱动程序阻止列表同步终于修复了
在 Dormann 透露 Windows 10 和一些 Windows Server 系统上的易受攻击的驱动程序列表没有更新一个多月后,微软现在终于解决了这个问题。
微软发言人告诉news.zzqidc.com:“易受攻击的驱动程序列表会定期更新,但我们收到的反馈是,操作系统版本之间的同步存在差距。”
“我们已经纠正了这个问题,它将在即将到来的和未来的 Windows 更新中提供服务。文档页面将随着新更新的发布而更新。”
不幸的是,这个“差距”意味着驱动程序阻止列表自 2019 年以来没有与任何 Windows 10 系统同步,尽管微软一直在更新,有效地破坏了该功能。
Redmond 已通过2022 年 10 月的预览更新解决了驱动程序阻止列表同步问题,确保 Windows 10 和 11 中的阻止列表相同。
禁用驱动程序阻止列表
微软还表示,从 Windows 11 2022 更新(版本 22H2)开始,所有设备默认启用黑名单。
“阻止驱动程序可能导致设备或软件出现故障。在极少数情况下,它会导致停止错误,”微软周二警告说。“不能保证阻止列表会阻止每个有弱点的驱动程序。”
对于 Windows 10 和 Windows 11 21H2,您可以通过在“核心隔离”设置中关闭“内存完整性”来禁用驱动程序阻止列表,或者如果使用 Windows Defender 应用程序控制 (WDAC),请在配置中禁用它。
但是,由于在 Windows 11 22H2 中默认启用了驱动程序黑名单,因此即使禁用了内存完整性,也不清楚如何在最新版本的操作系统中禁用黑名单。
此外,Microsoft 提供了使用设置切换禁用驱动程序阻止列表的说明,该设置在 Windows 11 22H2 的生产版本中不存在,仅存在于 Windows Insider 版本中。

即使在 Windows 11 22H2 Insider 版本中,news.zzqidc.com也无法找到一种方法来实际使用该切换来禁用阻止列表,因此它可能是一个正在开发的功能。
Dormann 告诉news.zzqidc.com可以使用未记录的注册表值禁用阻止列表。但是,由于 Microsoft 没有关于此注册表设置的官方文档,因此应谨慎使用。
news.zzqidc.com与 Microsoft 联系,询问有关如何禁用阻止列表的更多问题,并将在我们收到回复时更新故事。
美国东部时间 10 月 26 日 15:10 更新:对文章进行了修改,以明确只有内部人员可以使用 Windows 安全应用禁用阻止列表。
美国东部时间 10 月 26 日 17:18 更新:文章更新了有关如何禁用阻止列表的更多信息。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » OldGremlin黑客使用Linux勒索软件攻击俄罗斯组织