パスワードを忘れた? アカウント作成
15826391 story
Windows

Microsoftが自慢する脆弱性のあるドライバーブロック機能、ブロックリストは更新されていなかった 10

ストーリー by nagazou
仏作って魂入れず 部門より
headless 曰く、

Microsoft は 2 年以上前から HVCI (ハイパーバイザーで保護されたコード整合性) または S モードを有効にした Windows デバイスで、リストを用いて脆弱性のあるドライバーをブロックする機能を利用可能にしているが、デバイス上のリストが更新されていないことが判明した (Ars Technica の記事The Verge の記事)。

この機能は攻撃者が脆弱性のあるドライバーをインストールし、その脆弱性を悪用して攻撃を行う BYOVD (Bring Your Own Vulnerable Driver) 攻撃への対策だ。セキュアコア PCを紹介する 2020 年 3 月の Microsoft Security Blog 記事では、Windows Update を通じてリストが更新されると説明されていた。Microsoft のエンタープライズ・OSセキュリティ担当VP David Weston 氏は 2020 年 12 月のツイートで、Surface Book 3 やその他新しい Surface デバイスはデフォルトで脆弱性のあるドライバーをブロックすると述べ、セキュリティベンダーが売りつけようとする機能を Windows は既に持っているなどと自慢している。

しかし、リストの内容は確認できず、HVCI を有効にしても既知の BYOVD 攻撃で使われている脆弱性のあるドライバーのインストールはブロックされない。ANALYGENCE の Will Dormann 氏はこの件を調査し、リストが一度も更新されていないとみられること、新しいバージョンのリストを含む Windows 11 Insider Preview ビルドでも 2 年前に脆弱性の確認されている WinRing0 ドライバーがブロックされないこと、Windows 10 のリストは 3 年前のものであることなどを Twitter で報告していた。

Dormann 氏の Twitter 上での会話には Microsoft の Jeffrey Sutherland 氏が参加しており、10 月 7 日になって (デバイスに更新が提供されていなかったことを認めて) ドキュメントを更新してダウンロード手順を追加したことを明らかにした。

更新されたドキュメントではブロックリストが (Windows Update経由で常に最新の状態に保たれるのではなく) Windows の新しいメジャーリリースごとに更新されると説明しており、ブロックリストのバイナリをダウンロードして適用する手順が追加されている。ただし、実際にはメジャーリリースでの更新もこれまで行われておらず、サービシングプロセスの問題修正を進めていると Sutherland 氏は説明している。

一方、リストが「同期している」と主張していた Weston 氏は、意味ある形でリストが更新されていないのに「同期している」と呼ぶ意味はないのではないかという Dormann 氏の指摘に対し、同期していなかったことには触れず、メジャーリリースでの更新とバイナリのダウンロードが提供されるのだから「意味ある形」だといえるなどと回答している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年10月19日 12時30分 (#4346466)

    更新されていない=関心が薄れた=興味がない=金にならん

    THE END Of Life

    • by Anonymous Coward

      Microsoft Defenderは更新してるのにね。何が違うんだろ。
      (できの悪い)競合ソフトの存在か人柱か。

      • by Anonymous Coward

        やっちゃいけない実装のドライバーですら動かないと逆ギレされるからじゃ?

    • by Anonymous Coward

      下手に更新すると自分のOSに入ってるデバイスドライバを使用不可にしてしまうことがあるからじゃ?そんなバカなって?あったんじゃ、実際A社で…

      • by Anonymous Coward

        A...あぴりっつ社で...

        いま広告にAdobe Acrobat DCが表示されてますがこれは広告です実在の不具合や事件などとは関係ありません

  • by Anonymous Coward on 2022年10月19日 14時11分 (#4346511)

    MS!

  • by Anonymous Coward on 2022年10月19日 17時55分 (#4346754)

    Safeguard Holds用のリストがあるからいいやとか
    そっちのリストが使われるはずとか
    内部で仕様誤認があったんじゃないかなぁ

  • by Anonymous Coward on 2022年10月19日 18時41分 (#4346784)

    普通の機能紹介でしょ。

    もしかして:認知の歪み

    • by Anonymous Coward
      PSA @surface book 3 and all new Surface devices have HVCI and VBS on by DEFAULT which enforces a driver block policy that blocks RWET and other bad drivers. Security vendors are going to tell you need to buy their stuff, but Windows has everything you need to block it.
      自慢には見えんな。
typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...