La liste des pilotes obsolètes de Microsoft a laissé les PC Windows ouverts aux attaques de logiciels malveillants pendant des années

Microsoft n’a pas réussi à protéger correctement les PC Windows contre les pilotes malveillants pendant près de trois ans, selon un rapport de Ars Technica. Bien que Microsoft affirme que ses mises à jour Windows ajoutent de nouveaux pilotes malveillants à une liste de blocage téléchargée par les appareils, Ars Technica trouvé ces mises à jour jamais réellement bloquées.

Cet écart de couverture a laissé les utilisateurs vulnérables à un certain type d’attaque appelé BYOVD, ou apportez votre propre pilote vulnérable. Les pilotes sont les fichiers que le système d’exploitation de votre ordinateur utilise pour communiquer avec des périphériques et du matériel externes, tels qu’une imprimante, une carte graphique ou une webcam. Étant donné que les pilotes peuvent accéder au cœur du système d’exploitation d’un périphérique, ou noyau, Microsoft exige que tous les pilotes soient signés numériquement, prouvant qu’ils peuvent être utilisés en toute sécurité. Mais si un pilote existant signé numériquement présente une faille de sécurité, les pirates peuvent l’exploiter et accéder directement à Windows.

Comme l’a noté Ars TechnicaMicrosoft utilise ce qu’on appelle l’intégrité du code protégé par l’hyperviseur (HVCI) qui est censé protéger contre les pilotes malveillants, que le la société dit qu’elle est activée par défaut sur certains appareils Windows. Cependant, les deux Ars Technica et Will Dormann, analyste principal des vulnérabilités au sein de la société de cybersécurité Analygence, ont constaté que cette fonctionnalité n’offre pas une protection adéquate contre les pilotes malveillants.

Dans un fil posté sur Twitter en septembre, Dormann explique qu’il a réussi à télécharger un pilote malveillant sur un appareil compatible HVCI, même si le pilote figurait sur la liste de blocage de Microsoft. Il a découvert plus tard que la liste de blocage de Microsoft n’avait pas été mise à jour depuis 2019 et que les capacités de réduction de la surface d’attaque (ASR) de Microsoft ne protégeaient pas non plus contre les pilotes malveillants. Cela signifie que tous les appareils avec HVCI activé n’ont pas été protégés contre les mauvais pilotes depuis environ trois ans.

Microsoft n’a pas abordé les conclusions de Dormann jusqu’au début du mois. “Nous avons mis à jour les documents en ligne et ajouté un téléchargement avec des instructions pour appliquer directement la version binaire”, a déclaré Jeffery Sutherland, chef de projet Microsoft. a déclaré dans une réponse aux tweets de Dormann. “Nous résolvons également les problèmes liés à notre processus de maintenance qui empêchait les appareils de recevoir des mises à jour de la politique.” Microsoft a depuis fourni des instructions sur la façon de mettre à jour manuellement la liste de blocage avec les pilotes vulnérables qui manquent depuis des années, mais on ne sait toujours pas quand Microsoft commencera à ajouter automatiquement de nouveaux pilotes à la liste via les mises à jour Windows.

“La liste des pilotes vulnérables est régulièrement mise à jour, mais nous avons reçu des commentaires indiquant qu’il y avait un écart de synchronisation entre les versions du système d’exploitation”, a déclaré un porte-parole de Microsoft dans un communiqué. Ars Technica. “Nous avons corrigé cela et il sera réparé dans les mises à jour Windows à venir et futures. La page de documentation sera mise à jour au fur et à mesure que de nouvelles mises à jour seront publiées. Microsoft n’a pas immédiatement répondu à Le borddemande de commentaire.