TL;DR: in elk geval op Windows 10 wordt de blocklist van door malware misbruikte drivers niet automatisch bijgewerkt [4].

Achtergrond
Op 30 sept. schreef de redactie van security.nl [1] "Kwetsbare Dell-driver gebruikt bij aanval op Nederlands luchtvaartbedrijf".

Bij een aanval met een "Bring Your Own Vulnerable Driver" (BYOVD) installeert malware een legitieme, digitaal ondertekende, device driver, die -na installatie- door "minder gepriviligeerde software" misbruikt kan worden om lees- en schrijftoegang tot kernelgeheugen te verkrijgen, als een achterdeurtje dus (de kernel is de "kern" van Windows). Effectief levert dit rootkit-functionaliteit op.

Nb. zelfs software gestart door Administrators heeft niet direct toegang tot het kernelgeheugen (ook niet na akkoord gaan met een UAC-prompt). De reden daarvoor zijn de beveiligingsrisico's: met onbegrensde toegang kun je o.a. beveiligingssoftware (waaronder virusscanner, tamper protection, firewall, ransomware-detectie etc.) geforceerd uitschakelen.

Als het voor software (dus ook malware), draaiend met lage privileges (ook non-admin) via een device driver mogelijk is om beveiligingssoftware uit te schakelen, is dat natuurlijk een kwetsbaarheid (security-bug) in zo'n driver. Normaal gesproken zullen fabrikanten daar dan ook een gerepareerde versie van uitbrengen.

Wat cybercriminelen doen is echter de oude (buggy) versie van zo'n driver meeleveren met hun malware (bijv. met een smoes dat een update van Excel o.i.d. nodig is om een document te kunnen bekijken, waarbij die buggy -doch digitaal ondertekende- driver wordt geïnstalleerd). Zo'n driver hoeft niets met het betreffende systeem te maken te hebben, het kan gaan om een Dell driver op een HP laptop of een AMD-driver op een systeem zonder AMD chips.

Normaal gesproken zul je admin-privileges (ook bekend als admin-rechten) moeten hebben om drivers te kunnen installeren, maar bijvoorbeeld journalisten, regelmatig reizende laptop-bezitters en ontwikkelaars hebben dat meestal (of hebben, naast hun werk-account, ook een beheer-account). Bovendien komen privilege-escalation bugs veel voor, niet alleen in software van Microsoft maar bijvoorbeeld ook in -notabene- beveiligingssoftware. Omdat het bij BYOVD-aanvallen waarschijnlijk vooral om targeted attacks gaat, biedt zelfs een 100% updated systeem geen garanties.

Windows 11 versus 10
Medio september had ik een discussie over BYOVD met tweaker "NTAuthority", zie [3]. NTAuthority geeft in die bijdragen allerlei informatie over dit risico onder Windows 11. Of Windows 11 kwetsbare drivers in alle gevallen blokkeert, betwijfel ik nu echter, maar dit heb ik niet onderzocht (zie ook hieronder).

Onderzoek door security journalist Dan Goodin
Op 5 oktober meldde Dan Goodin van "ARS Technica" [2] al dat hij de kwetsbare Dell driver (die werd/wordt gebruikt bij de aanval genoemd in [1]) zonder waarschuwingen kon installeren. En dat is vreemd, omdat Microsoft steeds riep dat Windows systemen hier vanzelf tegen beschermd zouden zijn.

Na aanvullend onderzoek, in samenwerking met Will Dormann (CERT/CC) en Peter Kálnai (ESET) was Dan's conclusie afgelopen vrijdag [4] dat Microsoft's blocklist voor kwetsbare drivers, in elk geval op Windows 10, al bijna 3 jaar niet is bijgewerkt:

Wat kun je er eventueel zelf aan doen?
In [5] (updated op 14 oktober - toeval?) schrijft Microsoft onder meer (opmaak toegevoegd door mij):
Met andere woorden, onder geen enkele Windows versie is het zeker dat je de laatste lijst met kwetsbare drivers op je systeem hebt. En het lijkt een heel gedoe (met allerlei uitzonderingen, aandachtspunten en waarschuwingen) om dit zelf te fixen.

Merk op dat in genoemde Microsoft pagina staat:
Als je daarop klikt verschijnt een lange lijst met kennelijk geblokkeerde drivers. Lees ook de waarschuwing in het roze blok daaronder.

Alternatieve aanpak
Will Dormann heeft een PowerShell script geschreven [6] dat de laatste blocklist van Microsoft downloadt ([7]) en, naar keuze, een "audit policy" (alleen waarschuwen) of "enforced policy" installeert. Ik heb dat (nog) niet gedaan, alles wat je doet is natuurlijk geheel voor eigen risico. Verzeker je er in elk geval van wat zo'n PowerShell script gaat doen op jouw systeem voordat je zoiets uitvoert. Bron en iets meer info: [4].

Conclusie
Ik begrijp niet waarom Microsoft onder alle ondersteunde Windows versies je niet in alle gevallen, op basis van de laatste informatie, en zonder dat je zelf allerlei ingewikkelde dingen moet doen, op z'n minst waarschuwt op het moment dat een kwetsbare driver wordt geïnstalleerd. Dat lijkt mij gewoon een standaardtaak van Windows Defender (eerder dan experimentele hosts files in niet door Windows geraadpleegde mappen deleten omdat ze een gevaar zouden vormen voor mijn systeem).

De door Microsoft beschreven doe-het-zelf-fixes zien er ingewikkeld uit, lijken allesbehalve risicoloos en zul je zo te zien regelmatig moeten herhalen. M.i. kan en moet Microsoft beter haar best doen om de computers van haar klanten te beschermen, mede omdat zij er vaak genoeg voor gewaarschuwd is dat "signed" niet "safe" betekent.

Links
[1] https://www.security.nl/posting/769711/Kwetsbare+Dell-driver+gebruikt+bij+aanval+op+Nederlands+luchtvaartbedrijf

[2] https://arstechnica.com/information-technology/2022/10/no-fix-in-sight-for-mile-wide-loophole-plaguing-a-key-windows-defense-for-years/

[3] https://tweakers.net/nieuws/201078/ea-kondigt-anti-cheatsysteem-op-kernelniveau-voor-pc-game-fifa-23-aan.html?showReaction=17922268#r_17922268
en
https://tweakers.net/nieuws/201078/ea-kondigt-anti-cheatsysteem-op-kernelniveau-voor-pc-game-fifa-23-aan.html?showReaction=17922894#r_17922894

[4] https://arstechnica.com/information-technology/2022/10/how-a-microsoft-blunder-opened-millions-of-pcs-to-potent-malware-attacks/

[5] https://learn.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-driver-block-rules

[6] https://raw.githubusercontent.com/wdormann/applywdac/main/applywdac.ps1

[7] https://aka.ms/VulnerableDriverBlockList