Windowsが脆弱性のあるドライバーのインストールをブロックする機能を追加

Windowsのアプリケーション制御(WDAC)は、ユーザーが実行できるアプリケーションとカーネル上で実行されるコードを制限することで、セキュリティ上の脅威を軽減するのに役立つという機能。MicrosoftはこのWDACを利用して、既知の脆弱性のあるドライバーをインストールすることをブロックできるようにすると発表しました。

New Windows security feature blocks vulnerable drivers
https://www.bleepingcomputer.com/news/microsoft/new-windows-security-feature-blocks-vulnerable-drivers/

WindowsはWDACを利用して、既知の脆弱性のあるドライバーのインストールをブロックする機能を発表しました。この機能はセキュリティ機能であるコア分離の一部として提供される予定です。

WDACの脆弱性のあるドライバーをブロックする機能は、ハイパーバイザーで保護されたコード整合性(HVCI)が有効になっているWindows 10/11/Server 2016およびSモードのWindows 10で動作します。

WDACは信頼できるドライバーとアプリのみが実行できるようになるセキュリティレイヤーで、マルウェアや不要なソフトウェアの起動をブロックすることで潜在的に悪意のあるソフトウェアからWindowsを保護します。WDACは脆弱性のあるドライバーのブロックリストを使用し、リストは独立したハードウェアベンダー(IHV)およびOEMの助けを借りることで最新の状態に保たれます。なお、問題のあるドライバーに関する情報は、Microsoftのセキュリティ分析部門であるMicrosoft Security Intelligenceに直接送信することも可能です。

なお、Windowsがブロックするのは以下のような属性を持つサードパーティー製のドライバー。

・攻撃者がWindowsカーネルの特権を昇格させるために悪用できる既知のセキュリティ脆弱性
・悪意のある動作(マルウェア)またはマルウェアの署名に使用される証明書
・悪意のないWindowsセキュリティモデルを回避し、攻撃者がWindowsカーネルの特権を昇格させるために悪用する可能性のある動作

WDACの脆弱性のあるドライバーをブロックする機能は、「Microsoft Vulnerable Driver Blocklist」というオプション機能として提供される予定で、「Windows セキュリティ」→「デバイス セキュリティ」→「コア分離」からオンオフすることが可能です。

この機能を有効にすると、SHA256ハッシュ、ファイル名・バージョン番号などのファイル属性、ドライバーの署名に使用されるコード署名証明書などに基づき、特定のドライバーをブロックします。

ただし、Microsoft Vulnerable Driver Blocklistを有効にするとCheatEngineやProcessHackerといったブロックリストに含まれる正規のプログラムが機能しなくなるとBleepingComputerは指摘しています。

なお、Microsoftは「十分なテストを行わずにカーネルドライバーをブロックすると、デバイスやソフトウェアが誤動作し、まれにブルースクリーンが発生する可能性があります」と警告しており、最初に監査モードを使用することを推奨しています。