Microsoft Defender blockiert OEM-Treiber

Microsoft fügt Windows Defender unter Windows 10, Windows 11 und Windows Server 2016 oder neueren Versionen eine neue Funktion zur Blockierung anfälliger Treiber hinzu. Diese Funktion soll IT-Profis dabei helfen, Benutzer vor bösartigen Treibern zu schützen.

Microsoft Vice President of OS Security and Enterprise David Weston twitterte am 27. März über die neue Windows-Sicherheitsoption. Die Funktion wird standardmäßig in Windows 10 im S-Modus sowie auf Geräten aktiviert, die über die Funktion Memory Integrity Core Isolation verfügen, die auf virtualisierungsbasierter Sicherheit beruht. (Diese Core Isolation Memory Integrity-Funktion ist auch als Hypervisor-protected Code Integrity oder HVCI bekannt). Weitere Einzelheiten finden Sie in diesem Microsoft-Artikel über empfohlene Treibersperrregeln.

Diese Sperrfunktion stützt sich auf eine Liste gesperrter Treiber, die von Microsoft in Zusammenarbeit mit OEM-Partnern gepflegt wird. Wie auf ghacks.net erläutert, können diese Treiber als blockiert markiert werden, weil sie bekannte Sicherheitslücken aufweisen, die ausgenutzt werden können, um Windows-Kernelprivilegien zu erhöhen. Diese Treiber fungieren als Malware oder Zertifikate, die zum Signieren von Malware verwendet werden, oder sie weisen Verhaltensweisen auf, die das Windows-Sicherheitsmodell umgehen und dazu verwendet werden können, Windows-Kernelprivilegien zu erhöhen.