Defenderは、新しい「脆弱なドライバーブロックリスト」を使用して悪意のあるドライバーから保護するようになりました。

Windows Defenderは、ごく最近、「MicrosoftVulnerableDriverBlocklist」と呼ばれる新機能を取得しました。この機能はDefenderのアプリケーション制御オプションの一部であり、基本的に悪意のあるドライバーからデバイスを保護します。マイクロソフトのエンタープライズおよびOSセキュリティ担当副社長であるDavidWestonは、Twitterで、この新機能に注目を集めました。

この機能は最近追加され、それに関連するブログ投稿で、Microsoftは新しいドライバーブロックリストがWindowsデバイスの保護にどのように役立つかを説明しています。

脆弱なドライバーブロックリストは、次のいずれかの属性を持つWindowsエコシステム全体でサードパーティが開発したドライバーに対してシステムを強化するのに役立つように設計されています。

攻撃者がWindowsカーネルの特権を昇格させるために悪用できる既知のセキュリティの脆弱性
悪意のある動作（マルウェア）またはマルウェアの署名に使用される証明書
悪意はないがWindowsセキュリティモデルを回避し、攻撃者がWindowsカーネルの特権を昇格させるために悪用する可能性のある動作
Microsoftは、さまざまなベンダーパートナーと協力してこのような有害な要因を特定し、それらを「エコシステムブロックポリシー」に追加すると述べています。これらは、ハイパーバイザーで保護されたコード整合性（HVCI）対応デバイスまたはSモードのデバイスに適用されます。この機能は、Windows 11、10、およびServer2016以降で使用できます。

マイクロソフトには、そのようなドライバーに対して高い警戒を怠らない十分な理由があります。過去だけでなく、最近も