Microsoft แก้ไขช่องโหว่ blocklist sync ของ Driver บน Windows
Microsoft
ประกาศเรื่องการแก้ไขปัญหาที่ทำให้ blocklist ของไดรเวอร์ที่มีช่องโหว่ไม่ถูกซิงค์กับระบบที่ใช้ Windows ในเวอร์ชันเก่า โดย blocklist นี้ (จัดเก็บไว้ในไฟล์
DriverSiPolicy.p7b) ได้รับการออกแบบมาเพื่อป้องกันการโจมตีแบบ
Bring Your Own Vulnerable Driver (BYOVD) บนเครื่อง Windows
ที่เปิดใช้งาน HVCI หรือผู้ที่ใช้ Windows
ใน S Mode ซึ่งไดรเวอร์ที่มีช่องโหว่ในเคอร์เนลของ Windows จะทำให้สามารถปิดใช้งานโซลูชันด้านความปลอดภัย
และควบคุมอุปกรณ์ รวมถึงการสั่งรันโค้ดที่เป็นอันตรายได้
ซึ่งเป็นเทคนิคการโจมตีที่ได้รับความนิยมในกลุ่มแฮ็กเกอร์
ตั้งแต่กลุ่มแรนซัมแวร์ไปจนถึงกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐ
Microsoft
ได้ประกาศว่า blocklist ของไดรเวอร์จะช่วยเสริมความแข็งแกร่งให้กับระบบ
Windows ต่อไดรเวอร์ของบริษัทอื่นที่มีช่องโหว่ แต่ Will
Dormann ผู้เชี่ยวชาญด้านความปลอดภัยจาก Analygence พบว่าไม่เป็นเช่นนั้น เนื่องจาก Windows 10 และ Windows
11 รวมทั้ง Windows Server ที่เป็นปัจจุบันก็ยังถูกโจมตีจาก
BYOFD ได้อยู่
เป็นระยะเวลามากกว่า
1 เดือนหลังจากที่ Dormann เปิดเผยว่ารายการไดรเวอร์ที่มีช่องโหว่นั้นยังไม่ได้รับการอัปเดตใน
Windows 10 และระบบ Windows Server บางระบบ
ในที่สุด Microsoft ก็ได้แก้ไขปัญหานี้ในที่สุด
Microsoft
ระบุกับ BleepingComputer ว่า
"รายชื่อไดรเวอร์ที่มีช่องโหว่ได้รับการอัปเดตอยู่เป็นประจำ
อย่างไรก็ตามมีข้อมูลว่ามีช่องโหว่ในการซิงโครไนซ์ข้ามเวอร์ชันของระบบปฏิบัติการ
เราได้แก้ไขปัญหานี้แล้ว และจะอัปเดตใน Windows Updates ครั้งถัดไป
และในอนาคต ในส่วนของเอกสารคำแนะนำจะได้รับการอัปเดตอีกครั้ง
เมื่อมีการเผยแพร่การอัปเดตดังกล่าว"
เมื่อวันอังคารที่
25 ตุลาคมที่ผ่านมา Microsoft เริ่มอัปเดต Windows
11 (22H2) โดย blocklist จะถูกเปิดใช้งานโดยค่าเริ่มต้นในอุปกรณ์ทั้งหมด
แต่การบล็อกไดรเวอร์อาจทำให้อุปกรณ์ หรือซอฟต์แวร์บางอย่างทำงานผิดพลาดได้
และไม่การันตีว่ารายการที่บล็อกจะสามารถบล็อกทุกไดรเวอร์ที่มีช่องโหว่ได้ สำหรับ Windows 10 และ Windows 11 (21H2) สามารถปิดใช้งาน blocklist
ของไดรเวอร์ได้โดยการปิด Memory Integrity ในการตั้งค่า
Core Isolation หรือหากใช้ Windows Defender
Application Control (WDAC) ให้ปิดการใช้งานในการกำหนดค่า
อย่างไรก็ตาม เนื่องจาก blocklist ของไดรเวอร์ถูกเปิดใช้งานโดยค่าเริ่มต้นถึงจะปิดใช้งาน
Memory Integrity แต่ไม่รับรองว่าจะสามารถปิดใช้งาน blocklist
ในระบบปฏิบัติการเวอร์ชันล่าสุดได้
นอกจากนี้
Microsoft
ยังให้คำแนะนำในการเปลี่ยนการตั้งค่า เพื่อปิดการใช้งาน blocklist
ไดรเวอร์ ซึ่งตั้งค่าได้เฉพาะในเวอร์ชัน Windows Insider
builds เท่านั้นแต่
BleepingComputer
ลองทดสอบใน Insider Edition ก็ไม่สามารถหาวิธีการเปลี่ยนการตั้งค่าใน
Windows 11 (22H2) เพื่อปิดการใช้งาน blocklist ได้ แต่ Dormann ระบุว่า blocklist สามารถปิดใช้งานได้โดยการตั้งค่าใน Registry แต่เนื่องจาก
Microsoft ไม่มีเอกสารอย่างเป็นทางการเกี่ยวกับการตั้งค่า Registry
นี้ ดังนั้นผู้ใช้งานจึงควรระมัดระวัง
Ref : BleepingComputer.com
ไม่มีความคิดเห็น:
แสดงความคิดเห็น