마이크로소프트는 윈도 업데이트를 통해 기기 차단 목록을 업데이트한다. 하지만 보도에 따르면 이 차단 목록 업데이트가 실제로 작동하지 않았기 때문에 마이크로소프트는 3년간 악의적 드라이버로부터 윈도PC를 제대로 보호하지 못했다고 한다.
윈도 업데이트를 통한 차단 목록 업데이트가 제대로 작동하지 않아 사용자가 BYOVD라는 공격에 취약한 드라이버를 설치할 수 있다는 지적이 나온 것. 드라이버는 운영체제가 프린터, 그래픽카드, 웹캠 등 외부 기기나 하드웨어와 통신하기 위해 사용하는 파일이다. 드라이버는 장치 운영체제 또는 커널 코어에 액세스할 수 있기 때문에 마이크로소프트는 모든 드라이버 공급자에게 드라이버가 디지털 서명되어 있어야 한다는 걸 요구하며 이를 통해 사용자에게 드라이버를 안전하게 사용할 수 있다는 걸 보장한다. 하지만 디지털 서명된 기존 드라이버에 보안 허점이 있는 경우 해커가 이를 악용해 윈도에 직접 액세스할 수 있게 된다.
이 취약점으로 인해 2022년 8월에는 해커가 오버클록 유틸리티인 MSI 애프터버너(MSI AfterBurner) 드라이버에 블랙바이트(BlackByte)라는 랜섬웨어를 설치하고 배포하는 상황이 발생했다. 또 기본 플레이 무료 게임인 원신에 설치된 안티치트 드라이버 취약점을 악용한 경우도 보고됐다. 더구나 2021년 북한 해킹 그룹인 라자루스가 네덜란드 항공우주 관련 직원과 벨기에 정치 저널리스트에게 BYOVD 공격을 가한 것도 보안 기업 ESET에 의해 보고됐다.
마이크로소프트는 악의적 드라이버로부터 PC를 보호하기 위해 하이퍼바이저로 보호된 코드 무결성 HVCI라는 걸 이용한다. 특정 윈도 단말에선 기본적으로 HVCI가 활성화되어 있다고 마이크로소프트는 주장한다. 하지만 사이버 보안 기업 애널리젠스(Analygence) 조사에 따르면 HVCI는 악의적 드라이버에 대한 충분한 보호를 제공하지 못한다.
애널리젠스 측은 마이크로소프트 차단 목록에 있는 악의적 드라이버를 HVCI 지원 단말에 다운로드하는데 성공했다고 보고하고 있다. 이에 따르면 마이크로소프트 차단 목록은 2019년 이후 업데이트되지 않았으며 악성코드가 장치나 네트워크를 침해하기 위해 악용되는 경우가 많은 행위를 방지하기 위한 ASR(attack-surface-reduction) 규칙 또한 악의적 드라이버로부터 단말을 보호하기에는 불충분하다는 걸 발견했다.
다시 말해 마이크로소프트가 드라이버 차단 목록을 업데이트하지 않은 2019년 이후 윈도PC는 취약한 드라이버를 이용한 공격으로부터 제대로 보호되지 않았다는 지적이다. 마이크로소프트 프로젝트 관리자는 이 조사 보고에 대해 온라인 문서를 업데이트하고 이진 버전을 직접 적용하는 단계를 설명하는 다운로드를 추가했다며 장치가 정책 업데이트를 받지 못했으며 서비스 프로세스 문제도 해결했다고 밝혔다.
더구나 마이크로소프트는 드라이버 차단 목록을 수동으로 갱신하는 방법을 정리한 문서도 공개했다. 하지만 마이크로소프트가 언제부터 윈도 업데이트를 통해 드라이버 차단 목록을 자동 업데이트할지는 알 수 없다. 마이크로소프트 측은 취약한 드라이버 목록이 정기 업데이트되지만 운영체제 버전간 동기화에 격차가 있다는 피드백을 받았다며 앞으로 윈도 업데이트에서 서비스를 제공할 수 있게 할 예정이며 새로운 업데이트가 나오면 문서 페이지가 업데이트된다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.