Windows Defenderに、「Vulnerable Driver Blocklist」と呼ばれる新機能が追加されたことがわかりました(Neowin)。新機能はDefenderのアプリケーション制御オプションの一部で、基本的には悪意のあるドライバーからデバイスを保護するためのものとなっています。Microsoftのエンタープライズ/OSセキュリティ担当副社長、David Weston氏はTwitterで新機能を紹介しています。
New Windows security option: Enable more aggressive blocklist which includes vulnerable drivers pic.twitter.com/n3b2GzAWHA
— David Weston (DWIZZZLE) (@dwizzzleMSFT) March 27, 2022
この機能は最近追加されたもので、ブログ記事では、ドライバーブロックリストが、Windowsデバイスの保護にどのように役立つのかが詳しく説明されています。これによると、Vulnerable Driver Blocklistは、以下の属性を持つサードパーティ製ドライバに対してシステムを強化するために設計されています。
- Windowsカーネルで特権を昇格するために攻撃者に悪用される可能性のある既知のセキュリティ脆弱性
- 悪意のある行動(マルウェア)またはマルウェアに署名するために使用される証明書
- 悪意はないが、Windowsセキュリティモデルを回避し、攻撃者がWindowsカーネルの特権を昇格させるために悪用することが可能な動作
Microsoftはベンダーパートナーと協力して有害なドライバを特定し、「エコシステムブロックポリシー」に追加し、これらをHypervisor-protected code integrity(HVCI)対応デバイスやSモード搭載デバイスに適用しています。本機能は、Windows 11、10、Server 2016以降で利用可能です。