Microsoftが自慢する脆弱性のあるドライバーブロック機能、ブロックリストは更新されていなかった 10
仏作って魂入れず 部門より
Microsoft は 2 年以上前から HVCI (ハイパーバイザーで保護されたコード整合性) または S モードを有効にした Windows デバイスで、リストを用いて脆弱性のあるドライバーをブロックする機能を利用可能にしているが、デバイス上のリストが更新されていないことが判明した (Ars Technica の記事、 The Verge の記事)。
この機能は攻撃者が脆弱性のあるドライバーをインストールし、その脆弱性を悪用して攻撃を行う BYOVD (Bring Your Own Vulnerable Driver) 攻撃への対策だ。セキュアコア PCを紹介する 2020 年 3 月の Microsoft Security Blog 記事では、Windows Update を通じてリストが更新されると説明されていた。Microsoft のエンタープライズ・OSセキュリティ担当VP David Weston 氏は 2020 年 12 月のツイートで、Surface Book 3 やその他新しい Surface デバイスはデフォルトで脆弱性のあるドライバーをブロックすると述べ、セキュリティベンダーが売りつけようとする機能を Windows は既に持っているなどと自慢している。
しかし、リストの内容は確認できず、HVCI を有効にしても既知の BYOVD 攻撃で使われている脆弱性のあるドライバーのインストールはブロックされない。ANALYGENCE の Will Dormann 氏はこの件を調査し、リストが一度も更新されていないとみられること、新しいバージョンのリストを含む Windows 11 Insider Preview ビルドでも 2 年前に脆弱性の確認されている WinRing0 ドライバーがブロックされないこと、Windows 10 のリストは 3 年前のものであることなどを Twitter で報告していた。
Dormann 氏の Twitter 上での会話には Microsoft の Jeffrey Sutherland 氏が参加しており、10 月 7 日になって (デバイスに更新が提供されていなかったことを認めて) ドキュメントを更新してダウンロード手順を追加したことを明らかにした。
更新されたドキュメントではブロックリストが (Windows Update経由で常に最新の状態に保たれるのではなく) Windows の新しいメジャーリリースごとに更新されると説明しており、ブロックリストのバイナリをダウンロードして適用する手順が追加されている。ただし、実際にはメジャーリリースでの更新もこれまで行われておらず、サービシングプロセスの問題修正を進めていると Sutherland 氏は説明している。
一方、リストが「同期している」と主張していた Weston 氏は、意味ある形でリストが更新されていないのに「同期している」と呼ぶ意味はないのではないかという Dormann 氏の指摘に対し、同期していなかったことには触れず、メジャーリリースでの更新とバイナリのダウンロードが提供されるのだから「意味ある形」だといえるなどと回答している。
Re:しゃーなしや (スコア:0)
更新されていない=関心が薄れた=興味がない=金にならん
THE END Of Life
Re: (スコア:0)
Microsoft Defenderは更新してるのにね。何が違うんだろ。
(できの悪い)競合ソフトの存在か人柱か。
Re: (スコア:0)
やっちゃいけない実装のドライバーですら動かないと逆ギレされるからじゃ?
Re: (スコア:0)
下手に更新すると自分のOSに入ってるデバイスドライバを使用不可にしてしまうことがあるからじゃ?そんなバカなって?あったんじゃ、実際A社で…
Re: (スコア:0)
A...あぴりっつ社で...
いま広告にAdobe Acrobat DCが表示されてますがこれは広告です実在の不具合や事件などとは関係ありません
親方 (スコア:0)
MS!
もしかして (スコア:0)
Safeguard Holds用のリストがあるからいいやとか
そっちのリストが使われるはずとか
内部で仕様誤認があったんじゃないかなぁ
自慢なの? (スコア:0)
普通の機能紹介でしょ。
もしかして:認知の歪み
Re: (スコア:0)