Volgens Microsoft blokkeert Windows automatisch gevaarlijke stuurprogramma's. Dat blijkt dus niet zo te zijn. Twee jaar lang hebben aanvallers gebruik kunnen maken van een malware-infectie-exploit die bekend staat als 'BYOVD' (bring your own vulnerable driver). Microsoft Blundert.

Een aanvaller met administratieve rechten kan eenvoudig de Windows-kernelbeveiliging omzeilen. In plaats van een nieuwe exploit te schrijven, installeert de aanvaller gewoon een van de tientallen stuurprogramma's van derden met bekende kwetsbaarheden. Vervolgens maakt de aanvaller misbruik van deze kwetsbaarheden om direct toegang te krijgen tot enkele van de meest beveiligde omgevingen van Windows. Het blijkt dat Windows niet op de juiste manier updates download en toepast op de blokkeerlijst van stuurprogramma's. Hierdoor zijn gebruikers kwetsbaar voor nieuwe BYOVD-aanvallen.

HVCI is de Schuldige HVCI staat voor Hypervisor-Protected Code Integrity en, naast tpm 2.0, firmware-ondersteuning voor Security Mitigation Table-bescherming en enkele optionele uefi-functies, maakt deel uit van Virtualization-based Security - kortweg VBS - onder Windows 11 en Windows 10. In de regel is HVCI (bekend als kernisolatie) uitgeschakeld op de meeste pc's. Bij bedrijfs-pc's en gebruikers van een Microsoft Surface wordt de functie vaak ingeschakeld. Hierdoor zijn miljoenen systemen kwetsbaar. In tegenstelling tot de belofte van Microsoft kunnen ook kwetsbare driverversies worden geladen.

Microsoft 'vergeet' blokkerlijst up-to-date te houden Als een pc zo'n kwetsbaar stuurprogramma heeft, kunnen hackers gemakkelijk misbruik maken van dit beveiligingslek. Het doel van geheugenintegriteit, oftewel kernisolatie, is om te voorkomen dat niet-ondertekende stuurprogramma's of systeembestanden in het Windows-geheugen worden geladen. Microsoft houdt een blokkeerlijst bij van verouderde stuurprogramma's die niet kunnen worden geïnstalleerd. Blijkbaar is het bedrijf uit Redmond vergeten deze lijst up-to-date te houden. De blokkeerlijst onder Windows 10 wordt sinds 2019 niet automatisch bijgewerkt en moet daarom handmatig door de gebruiker of beheerder worden geïmporteerd. Volgens Microsoft waren er problemen geweest met Windows-updates, waardoor de blokkeerlijst niet automatisch werd bijgehouden. Een up-to-date driverblokkeringslijst wordt alleen automatisch geleverd bij Windows 11.

Zelf blokkerlijst downloaden Als je niet afhankelijk wilt zijn van automatische updates, dan kan de blokkeerlijst voor kwetsbare stuurprogramma's zelf worden gedownload en geactiveerd.

Met toekomstige Windows-updates zal Microsoft opnieuw automatisch een lijst met stuurprogrammablokkeringen leveren onder Windows 10.