Microsoft Defender: Blockliste für anfällige Treiber soll zusätzlichen Schutz bieten
Microsofts Sicherheitslösung namens Defender bekommt eine neue Funktion spendiert. Microsofts Vizepräsident für Unternehmens- und Betriebssystemsicherheit, David Weston, wies darauf hin. So enthält der Windows Defender eine Funktion namens „Microsoft Vulnerable Driver Blocklist“. Dies soll Windows-Geräte vor schädlichen Treibern schützen. Sie funktioniert bei Geräten mit Windows 10 im S-Modus oder solchen, die die Hypervisor-geschützte Code-Integrität (HVCI) aktiviert haben.
Microsoft hat strenge Anforderungen für Code, der im Kernel ausgeführt wird. Böswillige Akteure versuchen daher, Schwachstellen in legitimen und signierten Kernel-Treibern auszunutzen, um Malware im Kernel auszuführen. Die Blockliste für anfällige Treiber solle laut Microsoft dazu beitragen, Systeme gegen von Drittanbietern entwickelte Treiber im gesamten Windows-Ökosystem zu schützen. Eine Übersichtsseite von Microsoft für versierte Benutzer findet sich an dieser Stelle.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Ich würde mich freuen wenn dubiose Anti-Cheat-Lösungen die sich mit Kernel-Treibern tief in das System fressen und ähnliche Malware wie Denuvo auch davon betroffen wäre. Auch denkbar wären die dubiosen Systemdienste von Anbietern wie Lenovo, die über die UEFI-Schnittstelle selbst auf frisch installierten Windows-Installationen nachinstalliert werden und in der Vergangenheit mehrmals durch kritische Sicherheitslücken aufgefallen sind. (zB ungesicherte Node.js-Dienste mit Systemrechten)
Ich befürchte allerdings das stattdessen vor allem ältere Treiber von älteren Geräten auf dieser Liste landen. Die Hersteller werden sich sicher davor winden dafür Sicherheitsüberprüfungen durchzuführen.