Η Microsoft κάνει ένα σημαντικό βήμα για να σκληρύνει το λειτουργικό σύστημα των Windows έναντι απειλών σε επίπεδο πυρήνα, καταργώντας την εμπιστοσύνη για προγράμματα οδήγησης που έχουν υπογραφεί από το καταργημένο ριζικό πρόγραμμα διασταυρούμενης υπογραφής.
Ξεκινώντας με την ενημέρωση του Απριλίου 2026, τα Windows 11 και ο Windows Server 2025 θα αποκλείσουν αυτά τα μη αξιόπιστα προγράμματα οδήγησης από προεπιλογή.
Αυτή η πολιτική διασφαλίζει ότι μόνο τα προγράμματα οδήγησης που έχουν πιστοποιηθεί μέσω του προγράμματος συμβατότητας υλικού των Windows μπορούν να φορτωθούν αυτόματα, μειώνοντας σημαντικά την επιφάνεια επίθεσης για κακόβουλους παράγοντες.
Κλείσιμο ενός κενού ασφαλείας παλαιού τύπου
Το ριζικό πρόγραμμα διασταυρούμενης υπογραφής εισήχθη στις αρχές της δεκαετίας του 2000 για να επιτρέψει στις αρχές έκδοσης πιστοποιητικών τρίτων να εκδίδουν πιστοποιητικά υπογραφής κώδικα αξιόπιστα στα Windows.
Ωστόσο, αυτό το σύστημα δεν παρείχε διαβεβαιώσεις σχετικά με την ασφάλεια ή τη συμβατότητα του κώδικα του πυρήνα. Επειδή οι προγραμματιστές διαχειρίζονταν τα δικά τους ιδιωτικά κλειδιά, το πρόγραμμα έγινε συχνός στόχος κλοπής διαπιστευτηρίων, επιτρέποντας στους φορείς απειλών να αναπτύξουν rootkits.
Η Microsoft κατήργησε επίσημα αυτό το πρόγραμμα υπογραφής το 2021 και έκτοτε όλα τα σχετικά πιστοποιητικά έχουν λήξει. Παρόλα αυτά, τα Windows συνέχισαν να εμπιστεύονται αυτά τα πιστοποιητικά παλαιού τύπου για τη διατήρηση της συμβατότητας με το παλαιού τύπου υλικό.
.webp.jpeg)
Αυτή η νέα ενημέρωση κόβει επιτέλους αυτή τη διαρκή εμπιστοσύνη. Προχωρώντας προς τα εμπρός, ο αγωγός πιστοποίησης απαιτεί από τους προμηθευτές να περάσουν αυστηρά έλεγχο ταυτότητας, να υποβάλουν αυστηρά αποτελέσματα δοκιμών και να υποβληθούν σε σάρωση κακόβουλου λογισμικού πριν λάβουν ένα προστατευμένο πιστοποιητικό που ανήκει στη Microsoft.
Για την αποφυγή σφαλμάτων συστήματος, Η Microsoft εισάγει μια ρητή λίστα επιτρεπόμενων για προγράμματα οδήγησης υψηλής αξιοπιστίας, ευρέως χρησιμοποιούμενα με διασταυρούμενη υπογραφή.
Η ενημέρωση του πυρήνα θα αναπτυχθεί επίσης σε μια προσεκτική λειτουργία αξιολόγησης. Ο πυρήνας των Windows θα ελέγχει τα σήματα φόρτωσης του προγράμματος οδήγησης για να διασφαλίσει ότι η νέα πολιτική δεν θα διαταράξει κρίσιμες λειτουργίες.
Το σύστημα θα επιβάλει το μπλοκ μόνο αφού συναντήσει συγκεκριμένα όρια χρόνου εκτέλεσης και επανεκκίνησης. Εάν εντοπιστεί μη υποστηριζόμενο πρόγραμμα οδήγησης κατά τη διάρκεια αυτής της φάσης ελέγχου, το σύστημα επαναφέρει το χρονόμετρο αξιολόγησης και αναστέλλει την επιβολή.
Εταιρικά περιβάλλοντα που βασίζονται επί Τα προγράμματα οδήγησης προσαρμοσμένου πυρήνα που έχουν αναπτυχθεί εσωτερικά έχουν εναλλακτικές επιλογές. Οι οργανισμοί μπορούν να παρακάμψουν με ασφάλεια το προεπιλεγμένο μπλοκ χρησιμοποιώντας μια πολιτική Application Control for Business.
Με την υπογραφή αυτής της πολιτικής με μια αρχή που βασίζεται στις μεταβλητές UEFI Secure Boot της συσκευής, οι διαχειριστές μπορούν ρητά να εμπιστεύονται ιδιωτικούς υπογράφοντες.
Αυτό διασφαλίζει ότι οι φορείς απειλής δεν μπορούν να φορτώσουν αυθαίρετα κακόβουλα προγράμματα οδήγησης, ενώ οι νόμιμες εσωτερικές λειτουργίες συνεχίζονται χωρίς διακοπή.
