Microsoft, Windows çekirdeği savunmasız sürücü blok listesinin eski Windows sürümlerini çalıştıran sistemlerle senkronize etmesini engelleyen bir sorunu ele aldığını söylüyor.
Bu blok listesi (Driversipolicy.p7b dosyasında depolanır), tehdit aktörlerinin, HVCI özellikli Windows makinelerine veya S modunda Windows'u çalıştıran Windows'ları kendi savunmasız sürücü (BYOVD) saldırılarınızı getirerek hedeflerin sistemlerindeki meşru ancak savunmasız sürücüleri bırakmasını engellemek için tasarlanmıştır. .
Kusurlu sürücüler daha sonra Windows çekirdeğindeki ayrıcalıkları artırmak ve kötü amaçlı kod yürütmek, güvenlik çözümlerini devre dışı bırakmak ve cihazın kontrolünü ele geçirmek için kullanılır.
Bu, fidye yazılımı çetelerinden devlet destekli hack gruplarına kadar tüm beceri seviyelerindeki tehdit aktörleri arasında iyi bilinen ve popüler bir saldırı tekniğidir.
Microsoft, sürücü blok listesinin Windows sistemlerini savunmasız üçüncü taraf sürücülerine karşı sertleştirebilecek şekilde reklamını yapmasına rağmen, analiz güvenlik analisti Will Dornann durumun böyle olmadığını buldu.
Dormann'ın keşfettiği gibi, Windows 11 cihazlarından farklı olarak, güncel Windows 10 ve Windows Server sistemlerine Aralık 2019'dan itibaren eski bir savunmasız sürücü listesi sağlandı ve BYOVD saldırılarına korunduklarını düşünen müşterileri ortaya çıkardı.
Microsoft, bulgularını isteksizce kabul etti ve bu sorunu ele almaya ve yanıltıcı çevrimiçi destek dokümanlarını güncelleyeceğine söz verdi.
Tüm geri bildirimler için teşekkürler. Çevrimiçi dokümanları güncelledik ve doğrudan ikili sürümü uygulamak için talimatlarla bir indirme ekledik. Ayrıca, cihazların politikaya güncelleme almasını engelleyen hizmet sürecimizle ilgili sorunları da çözüyoruz.
Dormann, savunmasız sürücüler listesinin Windows 10 ve bazı Windows Server sistemlerinde güncel tutulmadığını açıklamasından bir aydan fazla bir süre sonra, Microsoft nihayet bu sorunu ele aldı.
Bir Microsoft sözcüsü BleepingComputer'a verdiği demeçte, "Savunmasız sürücü listesi düzenli olarak güncellendi, ancak geri bildirim aldık, işletim sistemi sürümlerinde senkronizasyonda bir boşluk oldu."
"Bunu düzelttik ve yaklaşan ve gelecekteki Windows güncellemelerinde servis edilecek. Yeni güncellemeler yayınlandıkça belge sayfası güncellenecek."
Ne yazık ki, bu “boşluk”, Microsoft'un sonlarında güncellemeye devam etmesine ve özelliği etkili bir şekilde kırmasına rağmen, sürücü blok listesinin 2019'dan beri herhangi bir Windows 10 sistemiyle senkronize olmadığı anlamına geliyordu.
Redmond, Ekim 2022 önizleme güncellemeleriyle sürücü blok listesi senkronizasyon sorununu ele aldı ve blok listesinin Windows 10 ve 11'de aynı olmasını sağladı.
Microsoft ayrıca Windows 11 2022 güncellemesinden (sürüm 22H2) başlayarak, blok listesinin varsayılan olarak tüm cihazlarda etkinleştirildiğini söylüyor.
Microsoft Salı günü, "Engelleme sürücülerin veya yazılımların arızalanmasına neden olabilir. Nadir durumlarda bir durdurma hatasına yol açar." "Blok listesinin zayıflıkları olan her sürücüyü engelleyeceğine dair bir garanti yok."
Windows 10 ve Windows 11 21H2 için, 'çekirdek izolasyon' ayarlarında 'bellek bütünlüğü' açarak veya Windows Defender Uygulama Denetimi (WDAC) kullanıyorsanız, yapılandırmanızda devre dışı bırakarak sürücü blok listesini devre dışı bırakabilirsiniz.
Ancak, sürücü blok listesi Windows 11 22H2'de varsayılan olarak etkinleştirildiğinden, bellek bütünlüğü devre dışı bırakıldığında bile, işletim sisteminin en son sürümünde blok listesinin nasıl devre dışı bırakılacağı belirsizdir.
Ayrıca Microsoft, Windows 11 22H2'nin üretim sürümünde olmayan ve yalnızca Windows Insider Builds'te bulunan bir Ayarlar geçişini kullanarak sürücü blok listesini devre dışı bırakmak için talimatlar sunar.
Windows 11 22H2 Insider Builds'te bile, BleepingComputer blok listesini devre dışı bırakmak için bu geçişi gerçekten kullanmanın bir yolunu anlayamadı, bu nedenle geliştirme özelliği olabilir.
Dormann, BleepingComputer'a, belgelenmemiş bir kayıt defteri değeri kullanarak blok listesini devre dışı bırakmanın mümkün olduğunu söyledi. Ancak, Microsoft'tan bu kayıt defteri ayarında resmi bir belge olmadığından, dikkatle kullanılmalıdır.
BleepingComputer, blok listesinin nasıl devre dışı bırakılacağı hakkında daha fazla soru ile Microsoft'a ulaştı ve tekrar duyduğumuzda hikayeyi güncelleyecek.
GÜNCELLEME 26 Ekim 15:10 EDT: Makale, Windows Güvenlik Uygulamasını kullanarak yalnızca içeriden gelenlerin blok listesini devre dışı bırakabileceğini açıkça belirtmek için revize edildi. .
Microsoft: Sunucu Yöneticisi Disk sıfırlamaları veri kaybına yol açabilir
Microsoft: Windows KB5017383 Önizleme Güncellemesi WSUS'a yanlışlıkla eklendi
Microsoft, bant dışı güncellemelerde Windows TLS el sıkışma hatalarını düzeltir
Microsoft, Windows Group Politika Sorunları için Çözümleri paylaşıyor
Windows 10 KB5017308 Grup İlkesi Ayarları ile ilgili sorunlara neden oluyor
Kaynak: Bleeping Computer