Microsofts Windows Antivirus kann PCs vor bösartigen Treibern schützen
Microsoft Defender, wurde kürzlich mit einer neuen Funktion aktualisiert, die Windows-Geräte vor bösartigen Treibern schützen soll.
Dieses neue Sicherheitstool mit dem Namen Microsoft Vulnerable Driver Blocklist soll die Anwendung dabei unterstützen, Treiber mit Sicherheitslücken von der Ausführung auf dem Gerät abzuhalten.
Das Unternehmen gibt an, gemeinsam mit Partnern die Treiber zu identifizieren, die Windows-PCs gefährden könnten, und verlässt sich dabei auf seine mit Windows gebündelte Sicherheitslösung, um gegen sie vorzugehen, bevor Schaden entsteht.
Microsoft hat strenge Anforderungen an den im Kernel laufenden Code. Böswillige Akteure versuchen daher, Schwachstellen in legitimen und signierten Kernel-Treibern auszunutzen, um Malware im Kernel auszuführen. Eine der vielen Stärken der Windows-Plattform ist unsere enge Zusammenarbeit mit unabhängigen Hardwareanbietern (IHVs) und OEMs.
Microsoft arbeitet eng mit den IHVs und der Sicherheits-Community zusammen, um ein Höchstmaß an Treibersicherheit für unsere Kunden zu gewährleisten, und wenn Schwachstellen in Treibern auftreten, werden diese schnell gepatcht und an das gesamte Ökosystem weitergegeben. Microsoft fügt dann die anfälligen Versionen der Treiber zu unserer Ökosystem-Blockierungsrichtlinie hinzu."
Windows im S-Modus als Retter in der Not
Nach Angaben des Unternehmens können bösartige Treiber von Cyberkriminellen dazu verwendet werden, die Rechte im Windows-Kernel zu erhöhen.
Der einfachste Weg, sich zu schützen, ist der Wechsel in den S-Modus, der für Windows-Nutzer verfügbar ist.
Microsoft empfiehlt, den HVCI- oder S-Modus zu aktivieren, um Ihre Geräte vor Sicherheitsbedrohungen zu schützen. Wenn dies nicht möglich ist, empfiehlt Microsoft, diese Liste von Treibern innerhalb der bestehenden Windows Defender Application Control-Richtlinie zu blockieren. Das Blockieren von Kernel-Treibern ohne ausreichende Tests kann zu Fehlfunktionen von Geräten oder Software und in seltenen Fällen zu einem Bluescreen führen. Es wird empfohlen, diese Richtlinie zunächst im Audit-Modus zu validieren und die Audit-Block-Ereignisse zu überprüfen.