Microsoftの古いドライバーリストのせいで何百万台ものWindows PCが何年もの間マルウェア攻撃にさらされていたことが発覚
MicrosoftはWindowsの更新プログラムにより、デバイス上のブロックリストを更新しています。しかし、Ars Technicaによると、このブロックリストの更新が実際には機能していなかったため、Microsoftは約3年間にわたり悪意のあるドライバからWindows PCを適切に保護できていなかったとのことです。
How a Microsoft blunder opened millions of PCs to potent malware attacks | Ars Technica
Microsoft’s out-of-date driver list left Windows PCs open to malware attacks for years - The Verge
https://www.theverge.com/2022/10/16/23405739/microsoft-out-of-date-driver-list-windows-pcs-malware-attacks-years-byovd
Windowsの更新プログラムを経由したブロックリスト更新が適切に機能していなかったことで、ユーザーは「BYOVD」と呼ばれる攻撃に対して脆弱になったり、脆弱なドライバをインストールできてしまったりしたと指摘されています。
ドライバはOSがプリンター・グラフィックカード・ウェブカメラなどの外部デバイスやハードウェアと通信するために使用するファイル。ドライバはデバイスのOSまたはカーネルコアにアクセスできるため、Microsoftはすべてのドライバ提供者に対して「ドライバがデジタル署名されていること」を要求しており、これをもってユーザーに「ドライバが安全に使用できること」を保証しています。しかし、デジタル署名された既存のドライバにセキュリティホールがある場合、ハッカーはこれを悪用してWindowsに直接アクセスできるようになってしまいます。
この脆弱性により、2022年8月にはハッカーがオーバークロックユーティリティである「MSI AfterBurner」のドライバに「BlackByte」と呼ばれるランサムウェアをインストールして配布するという事態が発生しました。また、基本プレイ無料の人気ゲーム「原神」にインストールされているアンチチートドライバの脆弱性を悪用するというケースも報告されています。さらに、北朝鮮のハッキンググループである「Lazarus」が、2021年にオランダの航空宇宙関連の従業員やベルギーの政治ジャーナリストに対して、BYOVD攻撃を仕掛けていたことがセキュリティ企業のESETにより報告されています。
Microsoftは悪意のあるドライバからPCを保護するために、ハイパーバイザーで保護されたコード整合性(HVCI)と呼ばれるものを使用しています。特定のWindows端末では、デフォルトでこのHVCIが有効になっているとMicrosoftは主張しています。しかし、Ars Technicaとサイバーセキュリティ企業のAnalygenceの調査によると、このHVCIが悪意のあるドライバに対して十分な保護を提供できていなかったとのこと。
Analygenceで上級脆弱性アナリストを務めるWill Dormann氏は、Microsoftのブロックリストに載っている悪意のあるドライバをHVCI対応端末にダウンロードすることに成功したと報告しています。Dormann氏によると、Microsoftのブロックリストは2019年以降更新されておらず、マルウェアがデバイスやネットワークを侵害するために悪用されることが多いアクションを防ぐための「攻撃表面の縮小ルール(ASRルール)」も、悪意のあるドライバから端末を保護するには不十分であることを発見しています。
The Microsoft recommended driver block rules page states that the driver block list "is applied to" HVCI-enabled devices.
Yet here is an HVCI-enabled system, and one of the drivers in the block list (WinRing0) is happily loaded.
I don't believe the docs.https://t.co/7gCnfXYIys https://t.co/2IkBtBRhks pic.twitter.com/n4789lH5qy— Will Dormann (@wdormann) September 16, 2022
つまり、Microsoftがドライバのブロックリストの更新を行わなくなった2019年以降、Windows PCは脆弱性のあるドライバを用いた攻撃から適切に保護されていなかったということになるとArs Technicaは指摘しました。
MicrosoftはDormann氏の調査報告に対して、2022年10月まで何も対処していませんでした。しかし、MicrosoftのプロジェクトマネージャーであるJeffrey Sutherland氏が、Dormann氏に向けて「オンラインドキュメントを更新し、バイナリバージョンを直接適用する手順を記載したダウンロードを追加しました」「デバイスがポリシーの更新を受け取れなかったサービスプロセスの問題も修正しています」とツイートし、問題に対処したと述べています。
Thanks for all the feedback. We have updated the online docs and added a download with instructions to apply the binary version directly. We're also fixing the issues with our servicing process which has prevented devices from receiving updates to the policy.— Jeffrey Sutherland (@j3ffr3y1974) October 6, 2022
さらに、Microsoftはドライバのブロックリストを手動で更新する方法をまとめたドキュメントを公開。ただし、Microsoftがいつ頃からWindowsの更新プログラムを通じてドライバのブロックリストを自動で更新するようになるかは不明です。
Microsoft 推奨ドライバー ブロック規則 (Windows) - Windows security | Microsoft Learn
https://learn.microsoft.com/ja-jp/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-driver-block-rules
Microsoftの広報担当者はArs Technicaに対して、「脆弱なドライバーリストは定期的に更新されていますが、OSのバージョン間で同期にギャップがあるというフィードバックを受け取りました。これを修正することで、今後のWindows Updateでこれまで通りのサービスを提供できるようになる予定です。新しいアップデートがリリースされると、ドキュメントページが更新されます」という声明を出しています。
