Microsoft ajoute une nouvelle fonctionnalité de liste de blocage des drivers vulnérables à Windows Defender sur Windows 10, Windows 11 et Windows Server 2016 ou plus. Ceci permet de protéger logiquement les postes de contre les drivers malveillants et exploitables.
La fonction sera activée par défaut sur Windows 10 en mode S (réservé à l’éducation), ainsi que sur les appareils dotés de la fonction Memory Integrity Core Isolation, qui s’appuie sur une sécurité basée sur la virtualisation. (Cette fonction Memory Integrity Core Isolation est également connue sous le nom de Hypervisor-protected Code Integrity ou HVCI). Plus de détails sont disponibles dans cet article de Microsoft sur les règles de blocage des pilotes recommandées. Logiquement cette fonction devrait être disponible pour toutes les versions de Windows 10 et 11 à une date non connue actuellement.
Cette fonction de blocage s’appuiera sur une liste de pilotes bloqués tenue à jour par Microsoft en collaboration avec ses partenaires constructeurs. La raison pour laquelle ces pilotes peuvent être marqués comme bloqués est qu’ils présentent des vulnérabilités de sécurité connues qui peuvent être exploitées pour élever les privilèges du noyau Windows ; ils agissent comme des logiciels malveillants ou des certificats utilisés pour signer des logiciels malveillants, ou ils présentent des comportements qui contournent le modèle de sécurité Windows et peuvent être utilisés pour élever les privilèges du noyau Windows.
