Microsoft признает, что многие WHQL-драйвера для Windows 11 и Windows 10 были вредоносными программами

В этот вторник Microsoft выпустила обновления для Windows 10 и Windows 11. Компания отдельно объявила о новых обновлениях Dynamic SafeOS, предназначенных для усиления мер безопасности, направленных против уязвимостей Secure Boot.

Наряду с изменениями, внесенными в Secure Boot DBX, Microsoft добавила несколько вредоносных драйверов в список Windows Driver.STL. Об этих уязвимых драйверах Microsoft сообщили компании Cisco Talos, Sophos и Trend Micro, занимающиеся исследованиями в области безопасности.

В бюллетене безопасности ADV230001 Microsoft объясняет проблему (CVE-2023-32046), которая возникла в результате злонамеренно подписанных драйверов WHQL.

Начиная с Vista, Microsoft требует подписывать драйвера режима ядра с помощью программы WHDP. Однако, как это уже случалось ранее, сертификация не является надежным методом. Компания Cisco Talos сообщила, что злоумышленники использовали различные утилиты для подделки подписей драйверов, такие как HookSignTool, чтобы обойти меры WHCP. Помимо поддельных подписей, такие утилиты также использовались для повторной подписи исправленного программного обеспечения, такого как PrimoCache.

Microsoft добавила такие драйвера в Vulnerable Driver Blocklist с обновлениями безопасности Windows (Microsoft Defender 1.391.3822.0 и новее).