Defender schützt jetzt mit neuer “Vulnerable Driver Blocklist” vor bösartigen Treibern

Windows Defender hat vor kurzem eine neue Funktion namens “Microsoft Vulnerable Driver Blocklist” erhalten. Die Funktion ist Teil der Application Control-Option von Defender und schützt Geräte im Wesentlichen vor bösartigen Treibern. Microsofts Vice President of Enterprise and OS Security, David Weston, machte auf Twitter auf die neue Funktion aufmerksam.

Die Funktion wurde kürzlich hinzugefügt und in einem diesbezüglichen Blogbeitrag hat Microsoft beschrieben, wie die neue Treiberblockierliste zum Schutz von Windows-Geräten beitragen wird:

Die Blockierliste für anfällige Treiber soll dazu beitragen, Systeme gegen von Drittanbietern entwickelte Treiber im gesamten Windows-Ökosystem mit einem der folgenden Attribute zu schützen:

Bekannte Sicherheitslücken, die von Angreifern ausgenutzt werden können, um Berechtigungen im Windows-Kernel zu erhöhen
Schädliches Verhalten (Malware) oder Zertifikate, die zum Signieren von Malware verwendet werden
Verhaltensweisen, die nicht böswillig sind, aber das Windows-Sicherheitsmodell umgehen und von Angreifern ausgenutzt werden können, um Berechtigungen im Windows-Kernel zu erhöhen
Microsoft sagt, dass es solche schädlichen Treiber identifiziert, indem es mit seinen verschiedenen Anbieterpartnern zusammenarbeitet, und fügt diese seiner “Ecosystem Block Policy” hinzu. Diese werden dann auf Hypervisor-Protected Code Integrity (HVCI)-fähige Geräte oder Geräte mit S-Modus angewendet. Die Funktion ist unter Windows 11, 10 und Server 2016 und höher verfügbar.

Microsoft hat guten Grund, vor solchen Treibern in höchster Alarmbereitschaft zu sein. Früher, aber auch neuerdings