¿Es más difícil comprometer los controladores en modo kernel? [cerrado]

Dos términos para familiarizarse con la seguridad en modo kernel de Windows son la seguridad basada en la virtualización y la integridad del código reforzado con HyperVisor.

Seguridad basada en virtualización (VBS): VBS utiliza funciones de virtualización de hardware para crear y aislar una región segura de la memoria del sistema operativo normal.

Integridad de código reforzada por HyperVisor (HVIC): utiliza VBS para reforzar la aplicación de políticas de integridad de código. La integridad del código del modo kernel comprueba todos los controladores de modo kernel y los binarios previos a la ejecución, y evita que los controladores o archivos del sistema sin firma se carguen en la memoria del sistema. < - Tenga en cuenta que esto no protege la integridad de los datos del modo kernel. La modificación de estructuras de datos clave todavía puede comprometer la integridad del sistema. Un ejemplo de esto es interceptar y soltar mensajes de sysmon (modo kernel) a registro (modo usuario)

Si bien este HVIC es ideal para mantener los ataques simples de controladores maliciosos sin firmar fuera del modo kernel, los ataques de programación orientados al retorno son todavía posibles en el modo kernel de Windows. Esto, si se hace correctamente y se combina con un controlador firmado pero vulnerable (hay muchos de estos por ahí) puede llevar a la ejecución de código arbitrario.

El control de compensación que todos deberían estar usando es monitorear todas las cargas del conductor. Como paso siguiente, incluya en la lista negra todos los controladores vulnerables conocidos que no se requieren en su entorno (y supervise en gran medida los controladores vulnerables conocidos que se requieren). Finalmente, si tiene un entorno maduro, incluya en la lista blanca solo los controladores que necesita y duerma un poco más fácilmente.