Microsoft ประกาศเรื่องการแก้ไขปัญหาที่ทำให้ blocklist ** ของไดรเวอร์ที่มีช่องโหว่ไม่ถูกซิงค์กับระบบที่ใช้ Windows ในเวอร์ชันเก่า โดย blocklist นี้ (จัดเก็บไว้ในไฟล์ DriverSiPolicy.p7b) ได้รับการออกแบบมาเพื่อป้องกันการโจมตีแบบ Bring Your Own Vulnerable Driver (BYOVD) บนเครื่อง Windows ที่เปิดใช้งาน HVCI หรือผู้ที่ใช้ Windows ใน S Mode ซึ่งไดรเวอร์ที่มีช่องโหว่ในเคอร์เนลของ Windows จะทำให้สามารถปิดใช้งานโซลูชันด้านความปลอดภัย และควบคุมอุปกรณ์ รวมถึงการสั่งรันโค้ดที่เป็นอันตรายได้ ซึ่งเป็นเทคนิคการโจมตีที่ได้รับความนิยมในกลุ่มแฮ็กเกอร์ ตั้งแต่กลุ่มแรนซัมแวร์ไปจนถึงกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐ
Microsoft ได้ประกาศว่า blocklist ของไดรเวอร์จะช่วยเสริมความแข็งแกร่งให้กับระบบ Windows ต่อไดรเวอร์ของบริษัทอื่นที่มีช่องโหว่ แต่ Will Dormann ผู้เชี่ยวชาญด้านความปลอดภัยจาก Analygence พบว่าไม่เป็นเช่นนั้น เนื่องจาก Windows 10 และ Windows 11 รวมทั้ง Windows Server ที่เป็นปัจจุบันก็ยังถูกโจมตีจาก BYOFD ได้อยู่
เป็นระยะเวลามากกว่า 1 เดือนหลังจากที่ Dormann เปิดเผยว่ารายการไดรเวอร์ที่มีช่องโหว่นั้นยังไม่ได้รับการอัปเดตใน Windows 10 และระบบ Windows Server บางระบบ ในที่สุด Microsoft ก็ได้แก้ไขปัญหานี้ในที่สุด
Microsoft ระบุกับ BleepingComputer ว่า "รายชื่อไดรเวอร์ที่มีช่องโหว่ได้รับการอัปเดตอยู่เป็นประจำ อย่างไรก็ตามมีข้อมูลว่ามีช่องโหว่ในการซิงโครไนซ์ข้ามเวอร์ชันของระบบปฏิบัติการ เราได้แก้ไขปัญหานี้แล้ว และจะอัปเดตใน Windows Updates ครั้งถัดไป และในอนาคต ในส่วนของเอกสารคำแนะนำจะได้รับการอัปเดตอีกครั้ง เมื่อมีการเผยแพร่การอัปเดตดังกล่าว"
เมื่อวันอังคารที่ 25 ตุลาคมที่ผ่านมา Microsoft เริ่มอัปเดต Windows 11 (22H2) โดย blocklist จะถูกเปิดใช้งานโดยค่าเริ่มต้นในอุปกรณ์ทั้งหมด แต่การบล็อกไดรเวอร์อาจทำให้อุปกรณ์ หรือซอฟต์แวร์บางอย่างทำงานผิดพลาดได้ และไม่การันตีว่ารายการที่บล็อกจะสามารถบล็อกทุกไดรเวอร์ที่มีช่องโหว่ได้
สำหรับ Windows 10 และ Windows 11 (21H2) สามารถปิดใช้งาน blocklist ของไดรเวอร์ได้โดยการปิด Memory Integrity ในการตั้งค่า Core Isolation หรือหากใช้ Windows Defender Application Control (WDAC) ให้ปิดการใช้งานในการกำหนดค่า อย่างไรก็ตาม เนื่องจาก blocklist ของไดรเวอร์ถูกเปิดใช้งานโดยค่าเริ่มต้นถึงจะปิดใช้งาน Memory Integrity แต่ไม่รับรองว่าจะสามารถปิดใช้งาน blocklist ในระบบปฏิบัติการเวอร์ชันล่าสุดได้
นอกจากนี้ Microsoft ยังให้คำแนะนำในการเปลี่ยนการตั้งค่า เพื่อปิดการใช้งาน blocklist ไดรเวอร์ ซึ่งตั้งค่าได้เฉพาะในเวอร์ชัน Windows Insider builds เท่านั้น
แต่ BleepingComputer ลองทดสอบใน Insider Edition ก็ไม่สามารถหาวิธีการเปลี่ยนการตั้งค่าใน Windows 11 (22H2) เพื่อปิดการใช้งาน blocklist ได้ แต่ Dormann ระบุว่า blocklist สามารถปิดใช้งานได้โดยการตั้งค่าใน Registry แต่เนื่องจาก Microsoft ไม่มีเอกสารอย่างเป็นทางการเกี่ยวกับการตั้งค่า Registry นี้ ดังนั้นผู้ใช้งานจึงควรระมัดระวัง
You must be logged in to post a comment.