21:44:49

Microsoft’un güncel olmayan sürücü listesi Windows bilgisayarları yıllarca kötü amaçlı yazılım saldırılarına açık bıraktı…
Microsoft cihazları kötü niyetli sürücülere karşı korumuyor görünüyor…

Ars Technica’nın bir raporuna göre Microsoft, Windows bilgisayarları yaklaşık üç yıl boyunca kötü niyetli sürücülerden gerektiği gibi koruyamadı. Microsoft, Windows güncellemelerinin cihazlar tarafından indirilen bir engelleme listesine yeni kötü niyetli sürücüler eklediğini söylese de, Ars Technica bu güncellemelerin aslında hiçbir zaman gerçekleşmediğini tespit etti. Kapsamdaki bu boşluk, kullanıcıları kendi savunmasız sürücülerine mahkum ederek BYOVD adı verilen belirli bir saldırı türüne karşı çaresiz bıraktı.

Sürücüler, bilgisayarınızın işletim sisteminin yazıcı, grafik kartı ya da web kamerası gibi harici cihaz ve donanımlarla iletişim kurmak için kullandığı dosyalardır. Sürücüler bir cihazın işletim sisteminin çekirdeğine veya çekirdeğine erişebildiğinden, Microsoft tüm sürücülerin dijital olarak imzalanmasını ve böylece kullanımlarının güvenli olduğunu kanıtlamasını gerektirir. Ancak mevcut, dijital olarak imzalanmış bir sürücüde güvenlik açığı varsa, bilgisayar korsanları bunu istismar edebilir ve Windows‘a doğrudan erişim sağlayabilir.

Ağustos ayında bilgisayar korsanları, hız aşırtma programı MSI AfterBurner için kullanılan savunmasız bir sürücüye BlackByte fidye yazılımı yükledi. Yakın zamanda yaşanan bir başka olayda ise siber suçlular Genshin Impact oyununun anti-hile sürücüsündeki bir güvenlik açığından yararlandılar. Kuzey Koreli hack grubu Lazarus, 2021 yılında Hollanda’da bir havacılık çalışanına ve Belçika’da bir siyasi gazeteciye BYOVD saldırısı düzenledi, ancak güvenlik firması ESET bunu ancak geçen ayın sonlarında gün ışığına çıkardı.

Ars Technica‘nın da belirttiği gibi Microsoft, kötü niyetli sürücülere karşı koruma sağlamak amacıyla hipervizör korumalı kod bütünlüğü (HVCI) adı verilen ve şirketin belirli Windows cihazlarında varsayılan olarak etkin olduğunu söylediği bir özellik kullanıyor. Ancak hem Ars Technica hem de siber güvenlik şirketi Analygence‘in kıdemli güvenlik açığı analisti Will Dormann, bu özelliğin kötü niyetli sürücülere karşı yeterli koruma sağlamadığını tespit etti.

Dormann, Eylül ayında Twitter‘da paylaştığı bir yazıda, Microsoft‘un engelleme listesinde olmasına rağmen HVCI özellikli bir cihaza kötü amaçlı bir sürücüyü başarıyla indirebildiğini açıkladı. Daha sonra Microsoft’un engelleme listesinin 2019’dan beri güncellenmediğini ve Microsoft‘un saldırı yüzeyi azaltma (ASR) özelliklerinin de kötü niyetli sürücülere karşı koruma sağlamadığını keşfetti. Bu da HVCI‘nin etkin olduğu cihazların yaklaşık üç yıldır kötü sürücülere karşı korunmadığı anlamına geliyor.

Microsoft, Dormann‘ın bulgularını bu ayın başlarına kadar ele almadı. Microsoft proje yöneticisi Jeffery Sutherland, Dormann‘ın tweetlerine verdiği yanıtta “Çevrimiçi dokümanları güncelledik ve ikili sürümü doğrudan uygulamak için talimatlar içeren bir indirme ekledik" dedi. “Ayrıca, cihazların ilke güncellemelerini almasını engelleyen servis sürecimizle ilgili sorunları da çözüyoruz." Microsoft o zamandan beri yıllardır eksik olan savunmasız sürücülerle blok listesinin manuel olarak nasıl güncelleneceğine dair talimatlar verdi, ancak Microsoft‘un Windows güncellemeleri aracılığıyla listeye otomatik olarak yeni sürücüler eklemeye ne zaman başlayacağı hâlâ belli değil.

Bir Microsoft sözcüsü Ars Technica‘ya yaptığı açıklamada, “Güvenlik açığı bulunan sürücü listesi düzenli olarak güncelleniyor, ancak işletim sistemi sürümleri arasında senkronizasyonda bir boşluk olduğu yönünde geri bildirimler aldık" dedi. “Bu durumu düzelttik ve gelecekteki Windows Güncellemelerinde hizmet verilecektir. Yeni güncellemeler yayımlandıkça dokümantasyon sayfası güncellenecektir."

Bu içeriği beğendiyseniz lütfen çevrenizle paylaşınız…