Новичок
- Статус
- Не в сети
- Рег
- 31 Мар 2026
- Посты
- 2
- Реакции
- 0
Народ, кто сейчас ковыряет обходы драйверов, гляньте, что мелкомягкие выкатили в последних обновлениях политики безопасности -
По сути, они окончательно прикрыли лавочку с доверием к старым кросс-подписанным сертификатам, которые висели в системе еще с начала нулевых.
Кому лень читать официальную доки: Microsoft официально сносит поддержку всех драйверов, подписанных через старые кросс-подписанные корневые программы. Раньше это был основной путь для тех, кто юзал утечки сертификатов или просто старый мусор для подписи своего Kernel-драйвера. Теперь этот метод станет практически бесполезным на актуальных билдах Windows.
По технической части:
Для тех, кто сидит на DMA, ситуация двоякая. Сама плата как работала, так и будет работать, но вот кастомная прошивка (FW) и драйвер, который с ней общается, теперь попадают под более пристальный взор системы. Если раньше можно было собрать драйвер "на коленке", то сейчас придется либо юзать способы с меньшим следом в системе, либо искать эксплойты в защищенных процессах.
Короче, по фактам: порог вхождения для создания андетект софта снова подрос. Пастеры, которые просто копировали модули с гитхаба и вешали сверху кривой сертификат, отвалятся в ближайшую волну обновлений. Мелкомягкие явно пытаются выдавить из ядра всё, что не имеет подписи от крупных вендоров.
Братва, делитесь мыслями, кто уже тестил, как это ложится на новые обновления? Есть у кого идеи, как обходить новые проверки без получения полноценного сертификата разработчика? Или теперь только путь в сторону гипервизоров и кастомных лоадеров уровня Ring -1?
Гости не видят ссылку
Войти или зарегистрироваться
По сути, они окончательно прикрыли лавочку с доверием к старым кросс-подписанным сертификатам, которые висели в системе еще с начала нулевых.
Кому лень читать официальную доки: Microsoft официально сносит поддержку всех драйверов, подписанных через старые кросс-подписанные корневые программы. Раньше это был основной путь для тех, кто юзал утечки сертификатов или просто старый мусор для подписи своего Kernel-драйвера. Теперь этот метод станет практически бесполезным на актуальных билдах Windows.
По технической части:
- Усложнение загрузки: Теперь просто "подписать" драйвер скомпрометированным сертификатом не выйдет, система будет слать лесом любой код, который не проходит по актуальным стандартам WHCP.
- Смерть легаси-драйверов: Весь этот зоопарк с уязвимыми драйверами (инжект через уязвимость в каком-нибудь древнем софте) под вопросом, так как доверие к самой цепочке подписи отзывают.
- Тренд на будущее: Разработчикам софта придется либо пушить полноценную сертификацию (что для приватных проектов почти нереально), либо переходить на более жесткие методы обхода, вроде работы через гипервизор или эксплуатацию уязвимостей в самом ядре (на свой страх и риск).
Для тех, кто сидит на DMA, ситуация двоякая. Сама плата как работала, так и будет работать, но вот кастомная прошивка (FW) и драйвер, который с ней общается, теперь попадают под более пристальный взор системы. Если раньше можно было собрать драйвер "на коленке", то сейчас придется либо юзать способы с меньшим следом в системе, либо искать эксплойты в защищенных процессах.
Короче, по фактам: порог вхождения для создания андетект софта снова подрос. Пастеры, которые просто копировали модули с гитхаба и вешали сверху кривой сертификат, отвалятся в ближайшую волну обновлений. Мелкомягкие явно пытаются выдавить из ядра всё, что не имеет подписи от крупных вендоров.
Братва, делитесь мыслями, кто уже тестил, как это ложится на новые обновления? Есть у кого идеи, как обходить новые проверки без получения полноценного сертификата разработчика? Или теперь только путь в сторону гипервизоров и кастомных лоадеров уровня Ring -1?