未能成功安裝設(shè)備驅(qū)動程序(未能成功安裝設(shè)備驅(qū)動程序是什么意思)

援引 Ars Technica 報道，微軟近三年來始終無法正確保護(hù) Windows PC 免受惡意驅(qū)動程序的侵害。盡管微軟表示其 Windows Update 根據(jù)設(shè)備的不同將新的惡意驅(qū)動程序添加到已下載的阻止列表中，但這些列表并未奏效。

由于設(shè)備方面的差距讓用戶非常容易受到“帶上自己脆弱的驅(qū)動”（bring your own vulnerable driver，BYOVD）攻擊。

驅(qū)動程序是計算機(jī)操作系統(tǒng)用來與外部設(shè)備和硬件（例如打印機(jī)、顯卡或網(wǎng)絡(luò)攝像頭）通信的文件。由于驅(qū)動程序可以訪問設(shè)備操作系統(tǒng)或內(nèi)核的核心，因此微軟要求所有驅(qū)動程序都經(jīng)過數(shù)字簽名，以證明它們可以安全使用。但是，如果現(xiàn)有的數(shù)字簽名驅(qū)動程序存在安全漏洞，黑客可以利用此漏洞直接訪問。

目前已經(jīng)有證據(jù)表明黑客利用這種方式發(fā)起攻擊。8 月，黑客對用于超頻的實(shí)用程序 MSIAfterBurner 下手，在這個存在缺陷的驅(qū)動程序上安裝了 BlackByte 勒索軟件。近期另一件此類事件是網(wǎng)絡(luò)犯罪分子利用游戲 Genshin Impact 的反作弊驅(qū)動程序中的漏洞。

朝鮮黑客組織 Lazarus 于 2021 年對荷蘭的一名航空航天雇員和比利時的一名政治記者發(fā)動了 BYOVD 攻擊，但安全公司 ESET 直到上個月底才曝光。

正如 Ars Technica 所指出的，微軟使用了一種稱為虛擬機(jī)管理程序保護(hù)代碼完整性 (HVCI) 的東西，它應(yīng)該可以防止惡意驅(qū)動程序，該公司表示，某些 Windows設(shè)備默認(rèn)啟用該驅(qū)動程序。

然而，Ars Technica 和網(wǎng)絡(luò)安全公司 Analygence 的高級漏洞分析師 Will Dormann 都發(fā)現(xiàn)，此功能無法為惡意驅(qū)動程序提供足夠的保護(hù)。

在 9 月發(fā)布到 Twitter 的帖子中，Dormann 解釋說，他能夠在支持 HVCI 的設(shè)備上成功下載惡意驅(qū)動程序，即使該驅(qū)動程序在微軟的阻止列表中。

他后來發(fā)現(xiàn)，微軟的黑名單自 2019 年以來就沒有更新過，而且微軟的攻擊面減少 (ASR) 功能也無法抵御惡意驅(qū)動程序。這意味著任何啟用了 HVCI 的設(shè)備在大約三年內(nèi)都沒有受到不良驅(qū)動程序的保護(hù)。

微軟于本月初修復(fù)了這個問題。微軟項(xiàng)目經(jīng)理 Jeffery Sutherland 在回復(fù) Dormann 的推文時說：“我們已經(jīng)更新了在線文檔并添加了一個下載，其中包含直接應(yīng)用安裝包版本的說明。我們還在解決我們的服務(wù)流程中的問題，這些問題導(dǎo)致設(shè)備無法接收政策更新”。

微軟發(fā)言人表示：“易受攻擊的驅(qū)動程序列表會定期更新，但我們收到的反饋是操作系統(tǒng)版本之間的同步存在差距。我們已更正此問題，并將在即將到來的和未來的 Windows 更新中提供服務(wù)。文檔頁面將隨著新更新的發(fā)布而更新”。