Security Week 2242: блокировка уязвимых драйверов в Windows
Тему уязвимых драйверов — легитимных кусков кода с цифровой подписью — мы за последнее время поднимали несколько раз. В сентябре мы сообщали о драйвере античит-системы из игры Genshin Impact, который использовался для остановки защитных систем в ходе атаки на корпоративную инфраструктуру. Совсем недавно стало известно об эксплуатации проблемного драйвера из программы MSI Afterburner. Использование уязвимых драйверов с цифровой подписью теоретически усложняет детектирование угроз и достаточно распространено на практике. Настолько, что у этого явления возникло собственное название: Bring Your Own Vulnerable Driver (принеси свой уязвимый драйвер), или BYOVD.
Уязвимые драйверы упрощают жизнь разработчикам атак, так как обеспечивают готовое решение определенной задачи — например, запуск вредоносного кода с высокими привилегиями, остановка других программ. Даже если разработчик легитимного ПО выпускает обновление, злоумышленники могут продолжать пользоваться уязвимым драйвером — собственно, установка программы целиком не требуется для проведения атаки. Логичное средство борьбы с подобными уязвимыми драйверами — это их блокировка по определенному «черному списку» на уровне операционной системы. Но, как недавно выяснили в издании Ars Technica, встроенная в Windows 10 и Windows 11 фича, ответственная за такую блокировку, толком не работала больше двух лет.
Читать дальше →
Уязвимые драйверы упрощают жизнь разработчикам атак, так как обеспечивают готовое решение определенной задачи — например, запуск вредоносного кода с высокими привилегиями, остановка других программ. Даже если разработчик легитимного ПО выпускает обновление, злоумышленники могут продолжать пользоваться уязвимым драйвером — собственно, установка программы целиком не требуется для проведения атаки. Логичное средство борьбы с подобными уязвимыми драйверами — это их блокировка по определенному «черному списку» на уровне операционной системы. Но, как недавно выяснили в издании Ars Technica, встроенная в Windows 10 и Windows 11 фича, ответственная за такую блокировку, толком не работала больше двух лет.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Вредоносная атака на Laravel-Lang
- Двигатель, колёса и панель приборов: Из чего на самом деле состоит ваш сайт
- Meta 1 мая показала как они хранят ключи от ваших бэкапов WhatsApp. Разбираю архитектуру и сравниваю
- CyLab Security Academy: как Carnegie Mellon превратила CTF в полноценную обучающую платформу
- Обход блокировок внутри iOS-приложения: VLESS + Reality через sing-box, и грабли по дороге
- QNAME minimisation на практике: RFC 7816, реализация, грабли
- Двигатель внутреннего сгорания и PHP: Почему старые технологии не умирают
- Вы платите OpenAI $20 в месяц, а он зарабатывает на вас ещё $100 млн за полтора месяца. И это только начало
- Объявлены победители Workspace Digital Awards-2026
- Как бизнесу оценить готовность к аттестации по новому Приказу ФСТЭК № 117