情境示意圖,背景圖片來源/Marc-Olivier Jodoin on unsplash

由於愈來愈多惡意程式借道合法驅動程式在Windows核心執行,微軟本周針對較新版Windows及Windows Server釋出一項新功能,可封鎖有漏洞或有惡意行為的第三方驅動程式。

微軟指出,由於微軟對在Windows執行的程式碼有嚴格要求,因此駭客轉而利用合法及簽章過的驅動程式的漏洞以執行程式碼。為此微軟和硬體夥伴(IHV)及OEM強化合作,要求驅動程式出現漏洞時,能儘快修補且部署到用戶Windows裝置上。微軟現在將把有漏洞的驅動程式版本,加入到封鎖對象中。

這項功能是在Windows Defender應用程式控制(Windows Defender Application Control,WDAC)加入不安全驅動程式封鎖清單。WDAC為一層安全防護層,僅允許獲准的軟體在PC上執行,旨在防止惡意程式和其他不明軟體。封鎖清單則會經由IHV及OEM合作隨時更新。

最新功能提供給啟動Hypervisor-Protected 程式碼完整性(Hypervisor-Protected Code Integrity,HVCI)的裝置,以及以S mode執行的Windows 10裝置。也僅Windows 10、11及Server 2016以上版本享有這項防護。

根據微軟說明,第三方驅動程式若包括已知可被升級Windows核心權限的漏洞、驅動程式有惡意行為或合法憑證被用來簽發惡意程式,以及非惡意行為、但卻迴避Windows安全模型且能讓攻擊者擴張權限的驅動程式,會被加入這個封鎖清單中。此外,用戶也能經由微軟安全情報驅動程式上傳頁來通報不安全驅動程式

微軟建議用戶啟動HVCI或S mode來防止安全威脅。針對無法執行者,微軟建議經由PC上的Defender應用程式控制政策封鎖清單上的驅動程式。但微軟提醒,未經測試而封鎖核心驅動程式可能導致PC或軟體運作異常,甚至可能出現藍色死亡螢幕。

熱門新聞

Advertisement