Les utilisateurs Windows peuvent désormais bloquer les pilotes compromis à l'aide de Windows Defender Application Control (WDAC) et d'une liste de pilotes vulnérables connus.
Selon un rapport de BleepingComputer, la nouvelle option fait partie de l'ensemble de fonctionnalités de sécurité Core Isolation, conçu pour les terminaux avec une sécurité basée sur la virtualisation.
Windows 10, Windows 11 et Windows Server 2016 et versions ultérieures bénéficieront de la nouvelle offre. L'intégrité du code protégé de l'hyperviseur (HVCI) doit être activée, tandis que les systèmes Windows 10 doivent être en mode S, a-t-il ajouté.
Rechercher une activité malveillante connue
Pour être acceptés, les conducteurs doivent être dignes de confiance et ne pas se retrouver sur la liste noire des conducteurs vulnérables. Cette liste noire sera maintenue par des fournisseurs de matériel indépendants et des fabricants d'équipement d'origine.
Les développeurs peuvent également soumettre leurs pilotes pour analyse via la page de soumission des pilotes Microsoft Security Intelligence.
La nouvelle fonctionnalité recherchera les vulnérabilités connues qui entraînent une élévation des privilèges, ainsi que les comportements qui tentent de contourner le modèle de sécurité Windows.
Les pilotes qui se retrouvent sur la liste de blocage seront bannis en fonction de leurs hachages SHA256, noms de fichiers, numéros de version, ainsi que du certificat utilisé pour signer le code. Et les utilisateurs peuvent basculer la liste de blocage des pilotes vulnérables de Microsoft à partir de Windows Security > Device Security > Kernel Isolation.
Cependant, cette décision signifie également que certains logiciels légitimes peuvent ne pas fonctionner.
"Les pannes du pilote du noyau sans tests suffisants peuvent entraîner un dysfonctionnement des périphériques ou des logiciels et, dans de rares cas, un écran bleu", a déclaré Microsoft. "Il est recommandé de valider d'abord cette stratégie en mode audit et d'examiner les événements de bloc d'audit."
"Microsoft recommande d'activer le mode HVCI ou S pour protéger vos appareils contre les menaces de sécurité", conclut l'avis. "Si cela n'est pas possible, Microsoft recommande de bloquer cette liste de pilotes dans votre politique de contrôle d'application Windows Defender existante."
Les attaques de la chaîne d'approvisionnement sont courantes de nos jours. Les rédacteurs de menaces utilisent souvent des mises à jour logicielles pour distribuer des virus puissants, comme dans le cas de SolarWinds. Les mises à jour de pilotes pourraient potentiellement être utilisées dans le même but.
Via BleepingComputer