Windows Defenderには、脆弱なMicrosoftドライバーブラックリストと呼ばれる新機能が追加されました。この機能はDefenderの「アプリケーション制御」オプションの一部であり、基本的に悪意のあるドライバーからデバイスを保護します。マイクロソフトの企業セキュリティおよびOSセキュリティ担当副社長であるDavidWestonは、新機能に注目を集めるためにTwitterを利用しました。
この機能は最近追加され、それに関連するブログ投稿で、Microsoftは新しいドライバーブラックリストがWindowsデバイスの保護にどのように役立つかを説明しています。
脆弱性ドライバーブラックリストは、次のいずれかの属性を持つWindowsエコシステムのサードパーティドライバーからシステムを保護するように設計されています。
- 攻撃者がWindowsカーネルの特権を昇格させるために使用する可能性のある既知のセキュリティの脆弱性。
- 悪意のある動作(マルウェア)またはマルウェアの署名に使用される証明書
- 悪意のないアクションですが、Windowsセキュリティモデルをバイパスし、攻撃者がWindowsカーネルの特権を昇格させるために使用する可能性があります。
Microsoftは、さまざまなベンダーパートナーと協力し、それらを「エコシステムブロッキングポリシー」に追加することで、このような悪意のあるドライバーを特定していると述べています。次に、ハイパーバイザー保護コード整合性(HVCI)またはSモード対応デバイスを備えたデバイスに適用されます。この機能は、Windows 11、10、およびServer2016以降で使用できます。
Microsoftには、これらのドライバーに目を光らせる十分な理由があります。過去、そして最近では、多くのWindowsおよびWindowsで署名されたドライバーが危険にさらされていることが判明しています。
コメントを残す