Microsoft führt eine Liste mit alten und anfälligen Treibern, die Angreifer verwenden können, um Viren, Ransomware und andere Malware in Endpunkte ihrer Wahl einzuschleusen.
Das letzte Update war allerdings 2019 – bis jetzt. Nach zwei Jahren des Nichtstuns wurde die Liste endlich aktualisiert – allerdings nicht für alle Windows-Nutzer auf einmal.
In einem (n Bekanntmachung (öffnet in neuem Tab) veröffentlicht auf dem Unternehmensblog, sagte Microsoft, dass die Sperrliste, die vom Hypervisor-Protected Code Integrity (HVCI)-Tool verwendet wird, von nun an ein- oder zweimal im Jahr aktualisiert wird.
Weitere Möglichkeiten zum Aktualisieren
„Die Sperrliste wird mit jeder neuen Hauptversion von Windows aktualisiert, in der Regel 1-2 Mal pro Jahr, zuletzt mit dem im September 2022 veröffentlichten Windows 11 2022-Update“, sagte Microsoft. „Die aktuellste Sperrliste ist jetzt auch für Benutzer von Windows 10 20H2 und Windows 11 21H2 als optionales Update von Windows Update verfügbar. Microsoft wird gelegentlich zukünftige Updates über die reguläre Windows-Wartung veröffentlichen.“
Benutzer, die immer das neueste Update der Treibersperrliste wünschen, können Windows Defender Application Control (WDAC) verwenden, um die neueste Sperrliste anzuwenden, so das Unternehmen weiter. Der Einfachheit halber stellte das Unternehmen einen Download der aktuellsten Blockierliste für anfällige Treiber sowie Anweisungen zur Anwendung bereit hier (öffnet in neuem Tab).
Microsoft erntet in letzter Zeit viel Kritik wegen fehlender Updates der verwundbaren Treiber-Blocklist – vor allem, weil die Zahl der Angriffe mit dieser Methode sprunghaft angestiegen ist.
Die Methode heißt „Bring Your Own Vulnerable Driver“ (BYOVD) und ist ganz einfach: Ein Angreifer verleitet ein Opfer, normalerweise durch Social Engineering oder Phishing, dazu, einen Windows-Treiber herunterzuladen, der als fehlerhaft bekannt ist.
Da es sich um einen signierten Treiber handelt, löst er keine Antiviren- oder Endpoint-Protection-Services-Alarme aus. Es wird einfach wie jedes andere nicht bösartige Ding installiert. Der Treiber, der fehlerhaft ist, gibt den Hackern Zugriff auf das Gerät, das sie später für jeden anderen Angriff verwenden können, den sie für angebracht halten – Ransomware, Botnets, Datenexfiltration usw.
Über: Das Register (öffnet in neuem Tab)