Driver sviluppati in modo imperfetto possono costituire la porta di accesso per malware di vario genere o comunque esporre il sistema a un ampio ventaglio di problemi di sicurezza. Lo abbiamo visto più volte in passato.
Microsoft ha quindi deciso di arricchire Defender di una nuova funzionalità di sicurezza che viene adesso portata al debutto in Windows 11, Windows 10 e Windows Server 2016.
Si chiama Windows Defender Application Control (WDAC) ed è parte integrante dello strumento Isolamento core che permette di bloccare l’accesso al kernel, il superamento dei controlli di sicurezza, l’iniezione di malware e tutte le operazioni potenzialmente dannose poste in essere dai processi in esecuzione sul sistema.
Va ricordato che anche i driver mal sviluppati potrebbero non essere caricati correttamente quando la funzione di protezione Integrità della memoria risulta abilitata in Windows. Ne abbiamo parlato nell’articolo citato poco sopra.
Ciò premesso, WDAC blocca i driver noti per essere vulnerabili e protegge i sistemi Windows nei confronti del software potenzialmente dannoso. Lo strumento si assicura che soltanto i driver e le app fidate possono essere eseguiti.
WDAC si basa su una blacklist di driver certamente problematici che viene mantenuta aggiornata con la collaborazione dei produttori hardware e dei partner OEM.
L’opzione Microsoft Vulnerable Driver Blocklist digitando Isolamento core nella casella di ricerca di Windows.
Una volta abilitata WDAC bloccherà alcuni driver in base al loro hash SHA256, verificando attributi del file come il nome del file e il numero di versione o in base al certificato che è stato utilizzato per firmare il driver.
Microsoft avverte che la nuova caratteristica di Windows potrebbe causare il mancato funzionamento di programmi legittimi, soprattutto di quelli che effettuano modifiche a basso livello, nonché provocare problemi con alcuni dispositivi e software (in rari casi potrebbero presentarsi schermate blu).