headless 曰く、

Microsoft は 2 年以上前から HVCI (ハイパーバイザーで保護されたコード整合性) または S モードを有効にした Windows デバイスで、リストを用いて脆弱性のあるドライバーをブロックする機能を利用可能にしているが、デバイス上のリストが更新されていないことが判明した (Ars Technica の記事、 The Verge の記事)。

この機能は攻撃者が脆弱性のあるドライバーをインストールし、その脆弱性を悪用して攻撃を行う BYOVD (Bring Your Own Vulnerable Driver) 攻撃への対策だ。セキュアコア PCを紹介する 2020 年 3 月の Microsoft Security Blog 記事では、Windows Update を通じてリストが更新されると説明されていた。Microsoft のエンタープライズ・OSセキュリティ担当VP David Weston 氏は 2020 年 12 月のツイートで、Surface Book 3 やその他新しい Surface デバイスはデフォルトで脆弱性のあるドライバーをブロックすると述べ、セキュリティベンダーが売りつけようとする機能を Windows は既に持っているなどと自慢している。

しかし、リストの内容は確認できず、HVCI を有効にしても既知の BYOVD 攻撃で使われている脆弱性のあるドライバーのインストールはブロックされない。ANALYGENCE の Will Dormann 氏はこの件を調査し、リストが一度も更新されていないとみられること、新しいバージョンのリストを含む Windows 11 Insider Preview ビルドでも 2 年前に脆弱性の確認されている WinRing0 ドライバーがブロックされないこと、Windows 10 のリストは 3 年前のものであることなどを Twitter で報告していた。

Dormann 氏の Twitter 上での会話には Microsoft の Jeffrey Sutherland 氏が参加しており、10 月 7 日になって (デバイスに更新が提供されていなかったことを認めて) ドキュメントを更新してダウンロード手順を追加したことを明らかにした。

更新されたドキュメントではブロックリストが (Windows Update経由で常に最新の状態に保たれるのではなく) Windows の新しいメジャーリリースごとに更新されると説明しており、ブロックリストのバイナリをダウンロードして適用する手順が追加されている。ただし、実際にはメジャーリリースでの更新もこれまで行われておらず、サービシングプロセスの問題修正を進めていると Sutherland 氏は説明している。

一方、リストが「同期している」と主張していた Weston 氏は、意味ある形でリストが更新されていないのに「同期している」と呼ぶ意味はないのではないかという Dormann 氏の指摘に対し、同期していなかったことには触れず、メジャーリリースでの更新とバイナリのダウンロードが提供されるのだから「意味ある形」だといえるなどと回答している。