Microsoft ha lanciato un portale speciale attraverso il quale gli utenti e i ricercatori sulla sicurezza delle informazioni possono segnalare i driver sospetti.
Il nuovo Centro segnalazione driver vulnerabili e dannosi è essenzialmente un modulo web che consente di caricare una copia di un driver sospetto, che verrà quindi analizzato dallo scanner automatico di Microsoft.
Negli ultimi anni i driver dannosi sono sempre più utilizzati dai principali gruppi APT e da altri criminali informatici, incluse le cyber-gang ransomware.
Molto spesso, i criminali informatici abusano delle vulnerabilità nei driver vecchi e privi di patch, o addirittura effettuano il downgrade e installano deliberatamente i driver più vecchi nel sistema (ad esempio, per ottenere i diritti di amministratore su un host compromesso).
La società afferma che il suo scanner automatico è in grado di rilevare metodi comunemente abusati da driver dannosi, tra cui:
- mappare aree arbitrarie di memoria fisica e memoria del dispositivo in modalità utente;
- analizzare i driver con la capacità di leggere/scrivere informazioni arbitrarie sulla memoria dal kernel, dalla memoria fisica o dalla memoria del dispositivo in modalità utente, comprese le porte I/O e CPU;
- analizzare i driver che forniscono l’accesso all’archiviazione del dispositivo ignorando il controllo degli accessi di Windows.
Se la scansione ha esito positivo, il driver verrà indirizzato a un tecnico Microsoft per un esame più approfondito.
Il nuovo servizio è in grado di analizzare i driver per architetture sia a 32 bit che a 64 bit e Microsoft invita gli utenti a segnalare tutti i driver che ritengono possano contenere codice dannoso o essere vulnerabili.
In base ai risultati dei controlli, i driver dannosi verranno inseriti nella black list e gli sviluppatori verranno informati sui driver vulnerabili.
