Компания Microsoft запустила специальный портал, через который пользователи и ИБ-исследователи смогут сообщать о подозрительных драйверах.
Новый «Центр отчетов об уязвимых и вредоносных драйверах» (Vulnerable and Malicious Driver Reporting Center), по сути, представляет собой веб-форму, которая позволяет загрузить копию подозрительного драйвера, которая затем будет проанализирована автоматическим сканером Microsoft.
Дело в том, что в последние годы вредоносные драйверы все чаще применяются крупными APT и прочими киберпреступникам, включая вымогателей. Чаще всего злоумышленники злоупотребляют уязвимостями в старых и непропатченных драйверах или даже намеренно устраивают даундгрейд и устанавливают в систему более старые драйверы (к примеру, чтобы получить права администратора на скомпрометированном хосте).
Компания заявляет, что ее автоматический сканер может определять методы, которыми обычно злоупотребляют вредоносные драйверы, включая:
- драйверы с возможностью маппинга произвольных областей памяти ярда, физической памяти и памяти устройства в user mode;
- драйверы с возможностью чтения/записи произвольной информации памяти из ядра, физической памяти или памяти устройства в user mode, включая порты I/O и ЦП;
- драйверы, обеспечивающие доступ к хранилищу девайса в обход контроля доступа Windows.
Если проведенное сканирование дает положительный результат, драйвер будет передан для более тщательного изучения одному из специалистов Microsoft.
Сообщается, что новый сервис способен анализировать драйверы как для 32-разрядных, так и для 64-разрядных архитектур, и Microsoft призывает пользователей сообщать о любых драйверах, которые, по их мнению, могут содержать вредоносный код или могут быть уязвимы.
По итогам проверок вредоносные драйверы будут занесены в черный список, а об уязвимых драйверах сообщат разработчикам.