Overslaan en naar de inhoud gaan

Hoe Microsoft al twee jaar achterdeur wijd open heeft

Microsoft heeft zeker twee jaar lang aanvallers de mogelijkheid gegeven om een simpele truc te gebruiken, genaamd 'bring your own vulnerable driver' omdat de bescherming daartegen geen updates ontvangt. Het is niet duidelijk wanneer het bedrijf het probleem gaat oplossen.
open deur
© Shutterstock
Shutterstock

BYOVD, de afkorting van 'bring your own vulnerable driver' betekent zo veel als dat een aanvaller niet zelf op zoek hoeft te gaan naar lekken in geïnstalleerde drivers, maar er gewoon een gebruikt via een eigenschap van Windows Update die automatisch nieuwe drivers op de systemen plaatst. Het enige dat de aanvaller hoeft te doen, is een van de bekende kwetsbare drivers van een derde partij aanbieden en vervolgens de betreffende kwetsbaarheid gebruiken om controle te krijgen over de pc van een slachtoffer.

Deze truc is echter allang bekend en er zijn maatregelen tegen genomen. Die blijken echter geen van allen goed te werken, zo blijkt uit onderzoek van ArsTechnica en ESET. Bij verschillende tests kwamen malafide drivers gewoon actief op Windows 10-gebaseerde machines.

Blocklist niet actueel

Microsoft is zich wel bewust van het risico dat BYOVD veroorzaakt. In een blog uit maart 2020 legt het bedrijf uit dat er twee mechanismen zijn die kwetsbare drivers moeten weren van een systeem. De een heet  Hypervisor-Protected Code Integrity (HVCI) en de ander Attack Surface Reduction (ASR). Beide werken niet zo goed als werd aangenomen, concludeert Ars Technica. HVCI werkt met een blocklist waarop alle driverversies staan die een achterdeur bieden. Windows Update checkt voor installatie van een driver of deze op de lijst staat. Uit onderzoek van ESET blijkt dat de blocklist voor Windows 10 al sinds 2019 niet meer is bijgewerkt. Ook bij Server 2019 is de blocklist heel summier.

Microsoft heeft wel toegegeven aan Ars Technica en ESET dat er iets mis is gegaan met het update-proces van de blocklist. Er is nu een mogelijkheid om de lijst handmatig te verversen. Microsoft zegt te werken aan het oplossen van problemen die verhinderen dat de blocklist automatisch wordt aangepast. Wanneer het zover is, is onduidelijk.

ESET heeft inmiddels wel een Powershell-script gemaakt dat het voor particulieren makkelijker moet maken om de blocklist te installeren.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in