| Автор |
Сообщение |
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 18 лет 3 мес.
Сообщений: 5528
Ratio: 25.234
Поблагодарили: 13343
100%
|
Исследователи обнаружили 133 подписанных драйверов Windows, содержащих вредоносное ПО. Microsoft заблокировала эти вредоносные драйверы и добавила их в черный список Windows Driver.STL
В документе поддержки обновлений безопасности для Windows и других продуктов Microsoft от 11 июля 2023 года, содержатся рекомендации по поводу злонамеренного использования подписанных драйверов Microsoft.
В феврале 2023 года исследователи безопасности из Sophos, Trend Micro и Cisco сообщили Microsoft о вредоносном ПО в подписанных драйверах. Исследователи обнаружили, что «драйверы, сертифицированные программой разработчиков аппаратного обеспечения Windows, использовались в злонамеренных действия после успешной эксплуатации».
Исследователи идентифицировали 133 различных драйвера, большинство из которых были сертифицированы различными аккаунтами разработчиков, и сообщили свои результаты Microsoft. Некоторые подписанные драйверы были выпущены до апреля 2021 года.
Теперь Microsoft блокирует вредоносные драйверы и закрывает соответствующие учетные записи разработчиков. Драйверы добавлены в черный список Windows Driver.STL, что предотвращает их загрузку на устройствах Windows. Этот список отзыва драйверов поставляется с Windows и регулярно обновляется через Центр обновления Windows. Согласно Microsoft, этот список не является частью Windows и не может быть отключен, удален или изменен.
Администраторам Windows следует убедиться, что в подконтрольных системах установлены последние обновления Windows, а также что сторонние антивирусы обновлены. Администраторы должны выполнить автономные проверки на своих устройствах, чтобы обнаружить вредоносные драйверы, установленные до 2 марта 2023 года. Компания Sophos опубликовала хэши вредоносных драйверов в репозитории GitHub.
Другие сервисы Microsoft, включая Microsoft 365, Azure или Xbox, не подвержены данной проблеме.
В Windows 10, версия 1607, Microsoft представила политику которая требовала наличие действительной цифровой подписи для драйверов ядра. Системы Windows с включенной функцией «Безопасная загрузка» (Secure Boot) отказываются загружать неподписанные драйверы.
Sophos отмечает, что несколько цифровых сертификатов, судя по названию компаний, связаны с Китаем.
Эксперты Sophos обнаружили два основных типа драйверов. Некоторые относятся к категории «убийца антивирусных программ» (Endpoint protection killer), и они схожи с вредоносными подписанными драйверами, обнаруженными в 2022 году. Другие обладают возможностями руткита и предназначены для бесшумного запуска в фоновом режиме.
Установка этих драйверов возможна только с повышенными правами администратора. Драйверы-руткиты обладают возможностью мониторинга сети с использованием платформы фильтрации Windows. Это позволяет злоумышленнику отслеживать входящий и исходящий сетевой трафик.
Sophos отмечает, что, как минимум, некоторые руткиты принадлежат известным семействам руткитов Windows. Многие из них включают функциональность командного сервера, что предоставляет злоумышленнику еще больше возможностей для управления зараженными устройствами.
Все обнаруженные вредоносные драйверы были аннулированы и отозваны Microsoft с 11 июля 2023 года. Модуль защиты Microsoft Defender версии 1.391.3822.0 и новее успешно обнаруживает вредоносные драйверы.
Источник |
|
|
|
Советуем установить VPN чтобы скрыть Ваш IP-адрес |
Sonk
Стаж: 14 лет 10 мес.
Сообщений: 983
Ratio: 13.925
Поблагодарили: 1
100%
|
| Цитата: | Sophos отмечает, что несколько цифровых сертификатов, судя по названию компаний, связаны с Китаем. |
То есть, Микрософт будет блокировать установку драйверов от определённых китайских (в том числе) производителей, которые ей не нравятся) Я правильно понял? Что, в свою очередь, означает, что оборудование от этих компаний, приобретённое пользователями, превратится в тыкву. И никакой политики, исключительно забота о пользователе) |
|
|
 |
|
|
|
