【はぁ？】MSご自慢のドライバーブロック機能、ブロックリスト更新が3年間機能していなかった

[0001 名無しさん＠お腹いっぱい。 2022/10/18(火) 22:42:33.94 ID:???]

MicrosoftはWindowsの更新プログラムにより、デバイス上のブロックリストを更新しています。
しかし、Ars Technicaによると、このブロックリストの更新が実際には機能していなかったため、
Microsoftは約3年間にわたり悪意のあるドライバからWindows PCを適切に保護できていなかったとのことです。

https://gigazine.net/news/20221017-microsoft-driver-list-malware-attacks/

[0002 名無しさん＠お腹いっぱい。 2022/10/18(火) 22:43:27.19 ID:???]

How a Microsoft blunder opened millions of PCs to potent malware attacks | Ars Technica
https://arstechnica.com/information-technology/2022/10/how-a-microsoft-blunder-opened-millions-of-pcs-to-potent-malware-attacks/

Microsoft’s out-of-date driver list left Windows PCs open to malware attacks for years - The Verge
https://www.theverge.com/2022/10/16/23405739/microsoft-out-of-date-driver-list-windows-pcs-malware-attacks-years-byovd

[0003 名無しさん＠お腹いっぱい。 2022/10/18(火) 22:44:41.67 ID:JU67LNjA]

Windowsの更新プログラムを経由したブロックリスト更新が適切に機能していなかったことで、
ユーザーは「BYOVD」と呼ばれる攻撃に対して脆弱になったり、
脆弱なドライバをインストールできてしまったりしたと指摘されています。

[0004 名無しさん＠お腹いっぱい。 2022/10/18(火) 22:47:02.75 ID:JU67LNjA]

ドライバはOSがプリンター・グラフィックカード・ウェブカメラなどの外部デバイスや
ハードウェアと通信するために使用するファイル。

[0005 名無しさん＠お腹いっぱい。 2022/10/18(火) 22:47:43.74 ID:JU67LNjA]

ドライバはデバイスのOSまたはカーネルコアにアクセスできるため、
Microsoftはすべてのドライバ提供者に対して「ドライバがデジタル署名されていること」を要求しており、
これをもってユーザーに「ドライバが安全に使用できること」を保証しています。

[0006 名無しさん＠お腹いっぱい。 2022/10/18(火) 22:48:04.50 ID:JU67LNjA]

しかし、デジタル署名された既存のドライバにセキュリティホールがある場合、
ハッカーはこれを悪用してWindowsに直接アクセスできるようになってしまいます。

[0007 名無しさん＠お腹いっぱい。 2022/10/18(火) 22:49:03.36 ID:JU67LNjA]

この脆弱性により、2022年8月にはハッカーがオーバークロックユーティリティである「MSI AfterBurner」のドライバに
「BlackByte」と呼ばれるランサムウェアをインストールして配布するという事態が発生しました。

[0008 名無しさん＠お腹いっぱい。 2022/10/18(火) 22:49:43.47 ID:JU67LNjA]

また、基本プレイ無料の人気ゲーム「原神」にインストールされている
アンチチートドライバの脆弱性を悪用するというケースも報告されています。

[0009 名無しさん＠お腹いっぱい。 2022/10/18(火) 22:51:15.25 ID:JU67LNjA]

さらに、北朝鮮のハッキンググループである「Lazarus」が、
2021年にオランダの航空宇宙関連の従業員やベルギーの政治ジャーナリストに対して、
BYOVD攻撃を仕掛けていたことがセキュリティ企業のESETにより報告されています。

[0010 名無しさん＠お腹いっぱい。 2022/10/18(火) 22:54:35.37 ID:JU67LNjA]

Microsoftは悪意のあるドライバからPCを保護するために、
ハイパーバイザーで保護されたコード整合性(HVCI)と呼ばれるものを使用しています。

[0011 名無しさん＠お腹いっぱい。 2022/10/18(火) 22:55:18.25 ID:JU67LNjA]

特定のWindows端末では、デフォルトでこのHVCIが有効になっているとMicrosoftは主張しています。

[0012 名無しさん＠お腹いっぱい。 2022/10/18(火) 22:57:19.09 ID:JU67LNjA]

しかし、Ars Technicaとサイバーセキュリティ企業のAnalygenceの調査によると、
このHVCIが悪意のあるドライバに対して十分な保護を提供できていなかったとのこと。

[0013 名無しさん＠お腹いっぱい。 2022/10/18(火) 23:00:52.74 ID:JU67LNjA]

Analygenceで上級脆弱性アナリストを務めるWill Dormann氏は、
Microsoftのブロックリストに載っている悪意のあるドライバを
HVCI対応端末にダウンロードすることに成功したと報告しています。

[0014 名無しさん＠お腹いっぱい。 2022/10/18(火) 23:01:59.00 ID:JU67LNjA]

Dormann氏によると、Microsoftのブロックリストは2019年以降更新されておらず、
マルウェアがデバイスやネットワークを侵害するために悪用されることが多いアクションを防ぐための「攻撃表面の縮小ルール(ASRルール)」も、
悪意のあるドライバから端末を保護するには不十分であることを発見しています。

[0015 名無しさん＠お腹いっぱい。 2022/10/18(火) 23:03:34.91 ID:JU67LNjA]

つまり、Microsoftがドライバのブロックリストの更新を行わなくなった2019年以降、
Windows PCは脆弱性のあるドライバを用いた攻撃から適切に保護されていなかったということになるとArs Technicaは指摘しました。

[0016 名無しさん＠お腹いっぱい。 2022/10/18(火) 23:07:24.16 ID:JU67LNjA]

MicrosoftはDormann氏の調査報告に対して、
2022年10月まで何も対処していませんでした。

[0017 名無しさん＠お腹いっぱい。 2022/10/18(火) 23:08:55.06 ID:JU67LNjA]

しかし、MicrosoftのプロジェクトマネージャーであるJeffrey Sutherland氏が、Dormann氏に向けて
「オンラインドキュメントを更新し、バイナリバージョンを直接適用する手順を記載したダウンロードを追加しました」
「デバイスがポリシーの更新を受け取れなかったサービスプロセスの問題も修正しています」
とツイートし、問題に対処したと述べています。

[0018 名無しさん＠お腹いっぱい。 2022/10/18(火) 23:10:07.20 ID:JU67LNjA]

さらに、Microsoftはドライバのブロックリストを手動で更新する方法をまとめたドキュメントを公開。

[0019 名無しさん＠お腹いっぱい。 2022/10/18(火) 23:10:57.00 ID:JU67LNjA]

ただし、Microsoftがいつ頃からWindowsの更新プログラムを通じて
ドライバのブロックリストを自動で更新するようになるかは不明です。

[0020 名無しさん＠お腹いっぱい。 2022/10/18(火) 23:12:02.18 ID:JU67LNjA]

Microsoft 推奨ドライバー ブロック規則 (Windows) - Windows security | Microsoft Learn
https://learn.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-driver-block-rules

[0021 名無しさん＠お腹いっぱい。 2022/10/18(火) 23:16:08.14 ID:???]

ほら土挫、ちゃんと手動で更新しろよ？
アップデートぶっ壊れてるらしいから！

[0022 名無しさん＠お腹いっぱい。 2022/10/18(火) 23:20:38.47 ID:???]

稼働してる土挫器全部だからな！さぼるなよ！？
MS様推奨って書いてあるからな！？

[0023 名無しさん＠お腹いっぱい。 2022/10/19(水) 20:19:23.34 ID:t4iCqNSQ]

え？ｗ

[0024 名無しさん＠お腹いっぱい。 2022/10/19(水) 20:54:09.94 ID:tF7sBVHB]

効いとる、効いとるｗ

[0025 名無しさん＠お腹いっぱい。 2022/11/17(木) 21:31:34.03 ID:???]

脆弱なドライバをインストールできてしまったりしたと指摘されています。

[0026 名無しさん＠お腹いっぱい。 2022/11/26(土) 12:45:14.76 ID:W5I+KlgR]

おい土挫、ちゃんと手動で更新した？
親切で言ってあげてるんだからな？
アップデートぶっ壊れてるらしいから！

[0027 名無しさん＠お腹いっぱい。 2022/11/26(土) 13:23:36.44 ID:obMQO5Mq]

Windows様「じゃあ、無理に使ってくれなくて結構です」

[0028 名無しさん＠お腹いっぱい。 2023/01/10(火) 22:56:26.44 ID:Q9ZSFK1y]

　
ｗ
　

[0029 名無しさん＠お腹いっぱい。 2023/01/10(火) 22:56:37.72 ID:Q9ZSFK1y]

　
ｗ
　

[0030 名無しさん＠お腹いっぱい。 2023/01/11(水) 01:03:39.25 ID:MJrfAi0q]

親切で言ってあげてるんだからな？

[0031 名無しさん＠お腹いっぱい。 2023/02/04(土) 04:51:46.59 ID:???]

ｽｩｰｯ(´┏･┓｀)v-~~ﾊｧｰｯ(´┏∀┓｀)v-~~

[0032 名無しさん＠お腹いっぱい。 2023/02/27(月) 17:47:20.55 ID:???]

Apple信者の心の支えだった『Appleは純利益が高い』終わる。13%減
http://medaka.2ch.net/test/read.cgi/pcnews/1675473311/23

お前しつこいから次のスレはスレタイに再び【コーヒー浣腸】を入れるようにするわ

[0033 名無しさん＠お腹いっぱい。 2023/05/07(日) 09:18:51.29 ID:???]

ｗ

[0034 名無しさん＠お腹いっぱい。 2023/06/20(火) 19:26:15.80 ID:???]

w

[0035 名無しさん＠お腹いっぱい。 2023/08/05(土) 01:09:40.26 ID:VIdlZFmv]

マイクロソフトって終わってるね
マイクロソフトって終わってるね

[0036 名無しさん＠お腹いっぱい。 2023/09/30(土) 12:26:54.04 ID:???]

ｗ

[0037 名無しさん＠お腹いっぱい。 2023/10/04(水) 13:29:26.75 ID:???]

なんや、それは意外やな

[0038 名無しさん＠お腹いっぱい。 2023/10/14(土) 04:42:03.96 ID:???]

いい加減にせいや、わしも疲れるわ

[0039 名無しさん＠お腹いっぱい。 2023/12/11(月) 20:51:11.73 ID:???]

ｗ

[0040 名無しさん＠お腹いっぱい。 2023/12/12(火) 10:41:34.29 ID:WAPiyMzV]

こんなブッ壊れたOS使っる奴等ってどんなアホ面してるのかな

[0041 名無しさん＠お腹いっぱい。 2023/12/14(木) 12:22:16.09 ID:bD++YQzO]

これは某方面からの要請でわざと仕込みの入れたデバイスドライバーを受け入れるように
するためだったのだろうかな。どう思う？

[0042 名無しさん＠お腹いっぱい。 2023/12/14(木) 16:20:52.81 ID:???]

土挫器はバックドアを作ることが義務付けられているからね

[0043 名無しさん＠お腹いっぱい。 2024/02/15(木) 14:01:34.96 ID:???]

ｗ

[0044 名無しさん＠お腹いっぱい。 2024/04/21(日) 08:19:18.23 ID:???]

ｗ