由于越来越多恶意程序借道合法驱动程序在Windows核心执行,微软本周针对较新版Windows及Windows Server发布一项新功能,可封锁有漏洞或有恶意行为的第三方驱动程序。
微软指出,由于微软对在Windows执行的程序代码有严格要求,因此黑客转而利用合法及签章过的驱动程序的漏洞以执行程序代码。为此微软和硬件伙伴(IHV)及OEM强化合作,要求驱动程序出现漏洞时,能尽快修补且部署到用户Windows设备上。微软现在将把有漏洞的驱动程序版本,加入到封锁对象中。
这项功能是在Windows Defender应用程序控制(Windows Defender Application Control,WDAC)加入不安全驱动程序封锁清单。WDAC为一层安全防护层,仅允许获准的软件在PC上执行,旨在防止恶意程序和其他不明软件。封锁清单则会经由IHV及OEM合作随时更新。
最新功能提供给启动Hypervisor-Protected程序代码完整性(Hypervisor-Protected Code Integrity,HVCI)的设备,以及以S mode执行的Windows 10设备。也仅Windows 10、11及Server 2016以上版本享有这项防护。
根据微软说明,第三方驱动程序若包括已知可被升级Windows核心权限的漏洞、驱动程序有恶意行为或合法凭证被用来签发恶意程序,以及非恶意行为、但却回避Windows安全模型且能让攻击者扩张权限的驱动程序,会被加入这个封锁清单中。此外,用户也能经由微软安全情报驱动程序上传页来通报不安全驱动程序。
微软建议用户启动HVCI或S mode来防止安全威胁。针对无法执行者,微软建议经由PC上的Defender应用程序控制政策封锁清单上的驱动程序。但微软提醒,未经测试而封锁核心驱动程序可能导致PC或软件运行异常,甚至可能出现蓝色死亡屏幕。