Elenco dei driver vulnerabili di Microsoft: guida completa

Nel mondo di sicurezza informatica, proteggere il kernel del sistema operativo Windows Si tratta di una delle priorità più importanti sia per gli utenti domestici che per le aziende. Nel corso degli anni, Microsoft ha implementato meccanismi sempre più sofisticati per proteggere il kernel dalle minacce, ma gli aggressori continuano a cercare punti di ingresso per eseguire codice privilegiato. Uno dei metodi più pericolosi, e sempre più comuni, consiste nello sfruttare le vulnerabilità dei driver installati sul sistema, molti dei quali sono legittimi e firmati digitalmente, ma contengono falle di sicurezza che possono essere sfruttate.

Per affrontare questa realtà, Microsoft ha sviluppato il cosiddetto Microsoft Vulnerable Driver Blocklist, che ha lo scopo di impedire l'esecuzione di driver pericolosi nel kernel di Windows. Questa funzionalità, sempre più presente e abilitata di default nelle ultime versioni del sistema operativo, è una parte fondamentale dell'ecosistema di protezione composto sia da Windows Defender sia da altri criteri di sicurezza avanzati.

Che cos'è la Microsoft Vulnerable Driver Blocklist?

La Elenco di blocco Microsoft dei driver vulnerabili Si tratta di un meccanismo di difesa che cerca di impedire l'esecuzione nel kernel di Windows di determinati driver, identificati come potenzialmente non sicuri o direttamente pericolosi per l'integrità del sistema. Questi driver, sebbene solitamente correttamente firmati e distribuiti da produttori legittimi, occasionalmente presentano vulnerabilità che possono essere sfruttate da software dannosi per ottenere privilegi elevati, eludere i sistemi di protezione o compromettere il normale funzionamento della macchina.

Microsoft mantiene e aggiorna questo elenco in collaborazione con i produttori di hardware (IHV e OEM) e con la comunità della sicurezza, in modo che includa sempre i conducenti il ​​cui sfruttamento rappresenta una minaccia reale. La sua funzione principale è quella di bloccare automaticamente l'esecuzione di questi driver per impedire l'escalation dei privilegi, l'introduzione di rootkit o la manipolazione degli strumenti antimalware..

Perché è necessaria una lista di driver bloccati?

Gli aggressori hanno scoperto da tempo che non è sempre necessario sviluppare il malware da zero per ottenere il controllo di basso livello del sistema. La tecnica nota come Bring Your Own Vulnerable Driver (BYOVD) sfrutta l'esistenza di driver legittimi con falle di sicurezza per diffondere minacce avanzate.. I criminali informatici possono installare e caricare un driver vulnerabile (spesso vecchio ma ancora firmato) e poi sfruttarlo per ottenere l'accesso alle risorse interne del sistema operativo, disattivare il software antivirus, estrarre le credenziali o installare rootkit.

Queste manovre sono state osservate anche in operazioni ransomware e attacchi mirati contro grandi aziende. Microsoft ha rilevato l'uso sistematico di questa tecnica sia da parte di autori di minacce avanzate che di sviluppatori di malware di base., che evidenzia la necessità di un meccanismo che controlli e limiti quali driver possono essere utilizzati nell'ambiente più critico del sistema.

Collaborazione tra Microsoft e produttori per identificare i driver pericolosi

Uno dei punti di forza della difesa di Microsoft risiede nella sua collaborazione diretta con i principali produttori di hardware e con i fornitori di software indipendenti. Ogni volta che viene scoperta una vulnerabilità in un driver, Microsoft collabora con il produttore per informarlo il prima possibile, bloccare il driver se necessario e coordinare il rilascio di un aggiornamento o di una patch che risolva il problema.. Ciò consente, da un lato, di proteggere gli utenti dall'esecuzione del driver vulnerabile e, dall'altro, di garantire che le nuove versioni corrette vengano distribuite in modo sicuro nell'intero ecosistema Windows.

Sviluppatori e produttori possono segnalare i driver sospetti direttamente a Microsoft per un'analisi di sicurezza oppure richiedere patch e modifiche se un driver è stato riparato dopo un aggiornamento. L'azienda mette a disposizione risorse e canali specifici per la segnalazione degli incidenti, accelerando così il rilevamento e l'inserimento rapido dei nuovi conducenti nell'elenco..

Quali tipi di conducenti hanno incidenti?

La politica di Microsoft per definire quali driver includere in questo elenco si basa sull'individuazione di quelli che soddisfano almeno uno dei seguenti criteri:

• Presentano vulnerabilità di sicurezza note che può essere sfruttato per elevare i privilegi o compromettere l'integrità del kernel di Windows.
• Hanno un comportamento malizioso, ad esempio se sono stati utilizzati per distribuire malware, rootkit o software dannosi.
• Includono certificati di firma digitale utilizzati per firmare malware o strumenti pirateria informatica.
• Hanno pratiche che eludono il modello di sicurezza di Windows, sebbene non sia propriamente dannoso, può essere sfruttato dagli aggressori per ottenere un controllo eccessivo sul sistema.

Grazie a questo approccio, l'elenco non protegge solo dalle vulnerabilità attive, ma anche dall'intera catena di attacchi basata su driver obsoleti o non adeguatamente protetti.. La presenza di un driver nell'elenco fa sì che il sistema operativo ne blocchi il caricamento e l'esecuzione, impedendo così al malware di sfruttarlo.

Evoluzione della Blocklist: Integrazione e Aggiornamenti

La Elenco di blocco dei driver vulnerabili di Microsoft È stato progressivamente integrato in tutte le versioni moderne di Windows. A partire dalla versione 1809 di Windows 10, è stata una funzionalità opzionale per gli utenti e gli ambienti che abilitavano tecnologie avanzate come Hypervisor Protected Code Integrity (HVCI) o la cosiddetta modalità S. Tuttavia, con l'arrivo di Windows 11 e in particolar modo con l'aggiornamento 22H2, è stato abilitato di default su tutti i dispositivi supportati.

Ciò significa che Tutti gli utenti di Windows 11 22H2 (e versioni successive) dispongono automaticamente della protezione della lista di blocco, senza alcuna configurazione aggiuntiva.. Nelle versioni precedenti o su Windows 10, l'attivazione dell'elenco dipende dall'abilitazione della funzionalità di sicurezza corrispondente, come Smart App Control, modalità S o HVCI, ma è possibile aggiungerla anche manualmente tramite aggiornamenti facoltativi. Windows Update.

Con quale frequenza viene aggiornata la lista nera e come vengono distribuite le nuove funzionalità?

Microsoft aggiorna l'elenco dei driver bloccati con ogni nuova versione principale di Windows., in genere una o due volte l'anno, ma potrebbe anche distribuire aggiornamenti aggiuntivi tramite la manutenzione standard del sistema operativo. Le versioni più recenti della blocklist vengono distribuite simultaneamente come aggiornamenti facoltativi di Windows Update per gli utenti di Windows 10 (a partire dalla versione 20H2) e Windows 11 (21H2 e successive).

Tuttavia, se un amministratore desidera assicurarsi sempre di essere protetto con la versione più recente della lista di blocco, ha a disposizione strumenti come Controllo delle app per le aziende, che consente di applicare l'elenco aggiornato dei driver bloccati ancor prima che arrivi tramite l'aggiornamento standard. Microsoft pubblica anche Download manuali di file aggiornati, insieme a istruzioni dettagliate per la sua implementazione.

Come funziona la protezione degli utenti: integrazione con Windows Defender e App Control

La lista di Bloccati integra il suo funzionamento con altre misure di difesa di Windows, in particolare con Windows Defender e App Control. Nel caso di Defender, il sistema esegue un controllo approfondito sui driver di cui si tenta l'installazione, ne valuta la presenza nella blacklist e, se necessario, ne blocca l'esecuzione e visualizza avvisi nel Centro sicurezza PC di Windows.

App Control for Business consente agli amministratori di applicare l'elenco di blocco di Microsoft utilizzando criteri di sicurezza.. Sebbene si tratti di un'opzione avanzata pensata per aziende e ambienti professionali, è molto utile per mantenere una difesa coerente nell'intera infrastruttura IT. Infatti, se non è possibile attivare determinate funzioni come la modalità S o HVCI, Microsoft consiglia espressamente di bloccare l'elenco dei driver pericolosi ricorrendo a App Control, sebbene sia consigliabile testare prima la policy in modalità di audit per evitare incompatibilità o blocchi accidentali di dispositivi critici.

Passo dopo passo: come scaricare e applicare manualmente la lista di blocco

Per gli utenti o gli amministratori che desiderano assicurarsi di disporre della versione più aggiornata del file di blocco, Microsoft offre una procedura manuale. Il processo in genere prevede il download dello strumento di aggiornamento dei criteri di controllo delle app, l'ottenimento dei file binari dell'elenco di blocco e la ridenominazione del file dei criteri in SiPolicy.p7b, copialo nella directory %windir%\system32\CodeIntegrity ed eseguire l'aggiornamento per attivare la nuova policy. In questo modo, qualsiasi tentativo di caricare un driver elencato come vulnerabile verrà automaticamente bloccato dal sistema.

Per verificare che la policy sia operativa, è sufficiente aprire il Visualizzatore eventi, andare al registro eventi e Microsoft – Windows – CodeIntegrity – Operativo e filtrare per ID evento 3099. Lì puoi controllare i dettagli della policy applicata e confermare che corrisponda alla versione più recente.

Articolo correlato:

Risoluzione dei problemi di Windows 5050009 Aggiornamento KB11

Il blocco dei driver può causare problemi di compatibilità?

Una delle domande più frequenti su questa funzionalità di sicurezza è se potrebbe bloccare i driver necessari e causare errori di sistema. La risposta è che, nonostante l'elenco sia stato compilato con cura per ridurre al minimo i conflitti, esiste la possibilità che, in casi molto specifici, il blocco di un driver possa causare il malfunzionamento di determinati componenti hardware o software., o addirittura causare una schermata blu (BSOD).

Pertanto, Microsoft consiglia agli amministratori di sistema di applicare e testare il criterio, in particolare in modalità di controllo, prima di abilitarlo completamente, esaminando gli eventi di blocco per escludere interferenze con componenti di lavoro essenziali.

Come abilitare o disabilitare l'elenco di blocco da Sicurezza di Windows

Nelle versioni più recenti del sistema operativo, la gestione di questa funzionalità è più semplice che mai. Basta aprire l'app Sicurezza di Windows, andare su "Sicurezza dispositivo" e accedere alla sezione "Isolamento kernel"..

Lì, l'utente vedrà l'opzione per attivare o disattivare l' Elenco di blocco dei driver vulnerabili di Microsoft. Basta modificare lo stato come desiderato e riavviare il dispositivo affinché le modifiche abbiano effetto. Questo processo è identico in Windows 11 22H2 e versioni successive; Nelle versioni precedenti potrebbe essere necessario abilitare anche la funzionalità Memory Integrity o HVCI per abilitare la protezione.

Collegamento alla riduzione della superficie di attacco (ASR)

La difesa del kernel non si basa solo sulla lista di blocco dei driver, ma fa parte di un framework più ampio chiamato Riduzione della superficie di attacco (ASR), che comprende una serie di regole progettate per ridurre al minimo le possibilità di sfruttamento da parte di malware e hacker. Una delle regole ASR più consigliate, abilitate di default in molti ambienti, è proprio quella che blocca l'abuso di driver firmati vulnerabili.

Il sistema di regole ASR è integrato in Microsoft Defender for Endpoint e consente di impostare criteri per bloccare, controllare o avvisare l'utente finale. Ogni regola ha un proprio identificatore (GUID) e può essere configurata individualmente dal centro di amministrazione o utilizzando strumenti come PowerShell.

Elenco delle norme ASR relative ai conducenti e ad altri rischi comuni

Oltre alla norma che blocca i conducenti vulnerabili, il pacchetto di norme ASR include molte altre misure rilevanti per la sicurezza aziendale e personale:

• Impedisci ad Adobe Reader di creare processi figlio.
• Impedisci alle applicazioni di Office di creare processi figlio o di iniettare codice in altri processi.
• Blocca l'esecuzione di script potenzialmente offuscati.
• Impedisce a JavaScript o VBScript di avviare contenuti eseguibili scaricati.
• Blocca i processi non firmati dalle unità USB o strumenti di sistema copiati/impersonati.
• Blocca la creazione di WebShell o chiamate API pericolose dalle macro di Office.
• Utilizzo di protezioni avanzate contro ransomware e altri attacchi sofisticati.

Per ogni regola è possibile impostare se deve essere in modalità di blocco, di controllo o di avviso, adattandola così alle esigenze di ogni organizzazione.. Questa flessibilità è fondamentale per garantire la sicurezza senza compromettere la compatibilità o il flusso di lavoro quotidiano.

Come vengono applicate e gestite le norme ASR?

Le regole ASR possono essere applicate attraverso diversi meccanismi:

• Dalla console Microsoft Defender per Endpoint, impostando criteri a livello aziendale, di gruppo o di dispositivo.
• utilizzando Microsoft Intune, che consente la gestione centralizzata di tutte le regole e la loro distribuzione per profili.
• Localmente, utilizzando PowerShell per attivare o verificare una regola specifica su un computer.

Ogni regola è identificata da un GUID univoco ed è possibile impostare combinazioni di stati:
non configurato, bloccato, audit o avviso. La modalità di avviso è particolarmente utile negli ambienti in cui si desidera informare l'utente del rischio senza bloccare automaticamente l'azione, consentendogli di prendere una decisione in stato di avviso.

Articolo correlato:

Posso passare da Windows Vista a Windows 10?

Isaac

Scrittore appassionato del mondo dei byte e della tecnologia in generale. Adoro condividere le mie conoscenze attraverso la scrittura, ed è quello che farò in questo blog, mostrarti tutte le cose più interessanti su gadget, software, hardware, tendenze tecnologiche e altro ancora. Il mio obiettivo è aiutarti a navigare nel mondo digitale in modo semplice e divertente.