Недостаток обновлений Windows позволяет хакеру скомпрометировать компьютер с помощью драйвера.
В течение почти 2-х лет специалисты Microsoft нарушали ключевую защиту Windows, что сделало миллионы клиентов уязвимыми для заражения вредоносным ПО, который был особенно эффективен в последние месяцы.
Microsoft заявляет, что Центр обновления Windows автоматически добавляет новые программные драйверы в черный список для предотвращения известного метода заражения вредоносным ПО под названием BYOVD (Bring Your Own Vulnerable Driver).
Этот метод позволяет злоумышленнику с привилегиями администратора легко обойти защиту ядра Windows. Вместо того, чтобы писать эксплойт с нуля, киберпреступник просто устанавливает сторонний драйвер с известными уязвимостями. Затем он использует эти уязвимости, чтобы получить мгновенный доступ к некоторым из наиболее защищенных областей Windows.
Оказалось, что Windows неправильно загружала и применяла обновления к черному списку драйверов, что делало пользователей уязвимыми для новых BYOVD-атак.
Более того, даже легитимные драйверы иногда содержат уязвимости, которые приводят к повреждению памяти или позволяют хакерам внедрить свой вредоносный код непосредственно в ядро. Даже после исправления недостатков старые драйверы с ошибками останутся доступны для BYOVD-атак, поскольку они уже подписаны.
Microsoft знает об угрозе BYOVD и работает над защитой. Чтобы остановить эти атаки, компания создает блокирующие механизмы, не позволяющие Windows загружать подписанные и уязвимые драйверы.
Ранее стало известно, что группировка BlackByte использует технику BYOVD для эксплуатации уязвимости в драйвере MSI Afterburner RTCore64.sys , позволяющей хакерам повышать привилегии и выполнять произвольный код.
