Intégrant la solution Microsoft Defender contre les malwares, Sécurité Windows profite depuis peu sur Windows 10, Windows 11 et Windows Server 2016 d'une nouvelle protection dont le propos est de bloquer l'exécution sur l'appareil de drivers (pilotes) avec des vulnérabilités de sécurité.
En plus des appareils avec Windows 10 en mode S, une telle protection concerne les appareils pour lesquels les fonctionnalités de sécurité qui exploitent la virtualisation sont activées (Isolation du noyau). En particulier, l'intégrité de la mémoire.
Microsoft fait autrement référence à HVCI - Hypervisor-protected code integrity - avec sa technologie Hyper-V pour protéger les processus en mode noyau (kernel) de Windows contre les injections de code malveillant.
New Windows security option: Enable more aggressive blocklist which includes vulnerable drivers pic.twitter.com/n3b2GzAWHA
— David Weston (DWIZZZLE) (@dwizzzleMSFT) March 27, 2022
Une liste de blocage avec des partenaires
Le blocage de drivers tiers touche ceux pour lesquels des vulnérabilités connues peuvent être exploitées par des attaquants pour une élévation de privilèges dans le noyau Windows. Il est également question de certificats utilisés pour signer des malwares ou encore des contournements du modèle de sécurité pour les développeurs de drivers.
La politique de blocage pour des pilotes nuisibles tient compte d'un travail avec des partenaires et fournisseurs de Microsoft qui a par ailleurs mis en place un portail web Vulnerable and Malicious Driver Reporting Center. Il permet de signaler et partager des pilotes potentiellement vulnérables ou malveillants.
