Microsoft non ha protetto i computer Windows contro gli attacchi BYOVD (Bring Your Own Vulnerable Driver) per quasi tre anni. La blocklist dei driver vulnerabili non è stata aggiornata tramite Windows Update, quindi le funzionalità di sicurezza offerte dal sistema operativo sono inefficaci. Al momento è possibile aggiornare l’elenco solo manualmente, seguendo le istruzioni pubblicate sul sito ufficiale.
Pericolo BYOVD per milioni di computer
Un attacco BYOVD viene effettuato con l’installazione di un driver legittimo (quindi firmato), ma vulnerabile. Negli ultimi mesi sono stati segnalati diversi casi da Trend Micro, ESET e Sophos. Windows e le soluzioni di sicurezza non bloccano questi driver perché sono autentici.
Microsoft ha tuttavia sviluppato alcune funzionalità di sicurezza che impediscono il caricamento dei driver vulnerabili nella memoria del kernel, tra cui isolamento core e integrità della memoria, nota anche come integrità del codice protetta da hypervisor (HVCI). Queste funzionalità possono essere attivate nella sezione Sicurezza dispositivi dell’app Sicurezza di Windows (se sono soddisfatti i requisiti hardware minimi). Un altro meccanismo, ovvero ASR (Attack Surface Reduction) blocca la scrittura dei driver su disco.
Microsoft ha più volte evidenziato che HVCI offre una protezione contro gli attacchi BYOVD. In realtà non è vero perché la blocklist non è stata aggiornata tramite Windows Update da quasi tre anni. Diversi ricercatori di sicurezza hanno verificato che i driver vulnerabili non sono bloccati, nonostante l’attivazione di HVCI.
Un project manager di Microsoft ha ammesso il problema, promettendo la risoluzione in tempi brevi. Fino ad allora, gli utenti possono solo aggiornare manualmente la blocklist, come spiegato in questa pagina.