Attacchi ai driver Windows non rilevati per tre anni: cos'è successo

I driver vengono utilizzati dal sistema operativo per comunicare l’hardware e i dispositivi esterni: si pensi a quelli utilizzati per la scheda grafica, per la stampante, per la webcam e così via. Per avere un’idea di quali e quanti driver Windows vengono utilizzati, basta premere Windows+X quindi scegliere Gestione dispositivi. Per ogni dispositivo in elenco viene infatti utilizzato un driver, installato automaticamente da Windows oppure manualmente da parte dell’utente.

Microsoft impone l’applicazione di una firma digitale su tutti i driver in modo da verificare che ciascun componente software provenga da uno sviluppatore approvato e autorizzato. Può capitare, come successo più volte in passato, che un driver presenti una o più vulnerabilità: se lasciate irrisolte, gli aggressori possono sfruttarle per eseguire codice arbitrario in Windows e sottrarre dati personali. Anzi, la presenza della firma digitale nel driver vulnerabile può consentire ai criminali informatici di rendere il codice malevolo più difficilmente riconoscibile.

Per proteggere da questa specifica tipologia di attacchi informatici, Microsoft ha implementato la tecnologia HVCI (Hypervisor-protected code integrity) in Windows. Si tratta di un meccanismo di protezione basato sulla virtualizzazione che preserva l’integrità del codice di componenti di sistema fondamentali quali sono i driver.
Già nel 2019 parlavamo delle molteplici vulnerabilità scoperte nei driver di decine di produttori e del suggerimento proveniente da Microsoft che consiste nell’attivazione di HVCI.

Purtroppo, però, come rilevato dal noto ricercatore Will Dormann, proprio dal 2019 Windows non si aggiorna più con le informazioni relative ai driver vulnerabili.
In una discussione su Twitter pubblicata a settembre scorso, Dormann ha spiegato di essere stato in grado di scaricare con successo un driver dannoso su un dispositivo abilitato HVCI, anche se il driver si trovava nella “blocklist” di Microsoft. L’azienda di Redmond compone e aggiorna una “lista nera” per impedire l’utilizzo di driver conosciuti per essere vulnerabili.

Lo stesso Dormann ha in seguito ha scoperto che la blocklist di Microsoft non è stata aggiornata dal 2019 e che le funzionalità di riduzione della superficie di attacco (ASR) Microsoft non proteggevano i sistemi per ciò che riguarda l’utilizzo di river dannosi. Ciò significa che tutti i dispositivi con HVCI abilitato non sono stati protetti adeguatamente per un periodo di circa 3 anni.

Nei giorni scorsi i responsabili di Microsoft hanno dovuto ammettere la fondatezza dei rilievi di Dormann confermando che la situazione sarà risolta a breve.
Per il momento Microsoft ha pubblicato un documento di supporto in cui si spiega come aggiornare in modo mauale la blocklist contenente la lista dei driver vulnerabili.
Viene suggerito di scaricare la blocklist aggiornata, copiare ad esempio la policy SiPolicy_Enforced.p7b nella cartella %windir%\system32\CodeIntegrity quindi usare il software Windows Defender Application Control (WDAC) per aggiornare il sistema.

Non è ancora chiaro quando Microsoft tornerà a distribuire e installare automaticamente le blocklist aggiornate tramite Windows Update.