Deze Windows-beveiligingsfunctie blokkeert gevaarlijke drivers voordat ze schade aanrichten

Windows beschikt over een ingebouwde “Vulnerable Driver Blocklist” (lijst met geblokkeerde kwetsbare stuurprogramma’s). Deze relatief onbekende, maar zeer belangrijke beveiligingsfunctie voorkomt dat onveilige of misbruikte drivers op je systeem kunnen worden geladen. Daarmee vormt ze een extra verdedigingslaag binnen de bredere beveiligingsarchitectuur van Windows.

Beveiliging is voor Microsoft essentieel: Windows draait op meer dan een miljard apparaten wereldwijd. Daarom hanteert het bedrijf een gelaagde beveiligingsstrategie (“defense in depth”), waarbij meerdere beschermingsmechanismen samenwerken om uiteenlopende dreigingen tegen te houden. De Vulnerable Driver Blocklist maakt deel uit van die strategie.

Wat is Core Isolation?

De Vulnerable Driver Blocklist valt onder Core Isolation (Kernisolatie). Core Isolation is een verzameling beveiligingsmaatregelen in Windows die kritieke systeemprocessen afschermt van kwaadaardige software door ze te isoleren in een beveiligd geheugengebied. Dit gebeurt met behulp van virtualisatietechnologie (Virtualization-Based Security, VBS).

Een belangrijk onderdeel hiervan is Hypervisor-Protected Code Integrity (HVCI), ook wel “Memory Integrity” genoemd in de Windows-instellingen. HVCI controleert of kernelcode – waaronder drivers – betrouwbaar en correct ondertekend is voordat deze wordt uitgevoerd. De Vulnerable Driver Blocklist werkt nauw samen met deze techniek.

Waarom zijn drivers een beveiligingsrisico?

Drivers (stuurprogramma’s) vormen de schakel tussen hardware en het besturingssysteem. Denk aan:

• Camera’s
• Microfoons
• Toetsenborden
• Grafische kaarten
• Netwerkadapters
• Opslagcontrollers

Omdat drivers op laag (kernel) niveau draaien, hebben ze uitgebreide systeemrechten. Als een driver kwetsbaar of gemanipuleerd is, kan een aanvaller hiermee diep in het systeem binnendringen. In het verleden zijn kwetsbare, maar legitiem ondertekende drivers misbruikt bij zogeheten “bring your own vulnerable driver” (BYOVD)-aanvallen. Hierbij installeert malware een kwetsbare driver om beveiligingsmaatregelen te omzeilen.

Om dit risico te beperken, onderhoudt Microsoft sinds 2022 actief een centrale blokkeerlijst van bekende kwetsbare drivers.

Wat doet de Vulnerable Driver Blocklist precies?

De Vulnerable Driver Blocklist is in essentie een lijst met driver-hashes en certificaten van stuurprogramma’s die:

• Bekende beveiligingslekken bevatten
• Worden misbruikt door malware
• Niet voldoen aan moderne beveiligingsstandaarden
• Onvoldoende beveiligd zijn tegen privilege-escalatie

Wanneer Windows probeert zo’n driver te laden, wordt dit automatisch geblokkeerd — mits de relevante beveiligingsinstellingen actief zijn.

Belangrijk om te begrijpen:
De lijst werkt volgens een “denylist”-principe. Dat betekent dat expliciet geblokkeerde drivers worden geweigerd, terwijl andere drivers standaard worden toegestaan. Dit verschilt van een strikt “allowlist”-model, waarbij alleen vooraf goedgekeurde drivers mogen draaien. Hoewel een allowlist veiliger kan zijn, is dat in de praktijk moeilijk uitvoerbaar vanwege compatibiliteit en schaalbaarheid.

Waarom worden niet alle kwetsbare drivers geblokkeerd?

De blokkeerlijst is niet volledig uitputtend. Microsoft moet bij elke toevoeging een zorgvuldige afweging maken tussen:

• 🔒 Beveiliging

• ⚙️ Compatibiliteit

• 👥 Gebruikerservaring

Het blokkeren van een driver kan namelijk leiden tot:

• Niet-werkende hardware
• Instabiele systemen
• In extreme gevallen een Blue Screen of Death (BSOD)

Daarom werkt Microsoft samen met onafhankelijke hardwareleveranciers (IHV’s) en OEM’s. Wanneer een kwetsbaarheid wordt gemeld:

1. Wordt de leverancier geïnformeerd.
2. Wordt een beveiligingspatch ontwikkeld.
3. Wordt – indien nodig – de kwetsbare driver(versie) toegevoegd aan de blocklist.

Alleen wanneer het beveiligingsrisico hoog genoeg is en de kans op grote compatibiliteitsproblemen relatief laag, wordt een driver daadwerkelijk geblokkeerd.

Hoe en wanneer wordt de blocklist bijgewerkt?

De Vulnerable Driver Blocklist wordt via Windows Update bijgewerkt, meestal tijdens grote functie-updates van Windows (ongeveer één tot twee keer per jaar).

Daarnaast kunnen leveranciers Microsoft verzoeken om een specifieke driver toe te voegen aan de lijst wanneer ernstige misbruikscenario’s worden vastgesteld.

De lijst bevindt zich technisch in het System32-gedeelte van Windows als onderdeel van het code-integriteitsbeleid.

Wanneer is de blocklist actief?

In de meeste moderne Windows-installaties is de Vulnerable Driver Blocklist standaard ingeschakeld. Ze wordt actief afgedwongen wanneer één van de volgende beveiligingsfuncties aanstaat:

• Memory Integrity (HVCI)
• Smart App Control
• Windows in S-modus
• Virtualization-Based Security (VBS)

Op nieuwere Windows 11-apparaten staat Memory Integrity vaak standaard ingeschakeld, afhankelijk van de hardware.

Hoe controleer of wijzig je de instelling?

Voor gewone gebruikers:

1. Ga naar Instellingen
2. Kies Privacy en beveiliging
3. Open Windows-beveiliging
4. Ga naar Apparaatbeveiliging
5. Bekijk of Kernisolatie en Geheugenintegriteit zijn ingeschakeld

IT-beheerders kunnen daarnaast een offline XML-beleid downloaden en implementeren via groepsbeleid of andere beheeroplossingen.

Waarom is dit belangrijk?

Moderne malware richt zich steeds vaker op kernel-niveau om beveiligingssoftware te omzeilen. Door kwetsbare drivers actief te blokkeren:

• Wordt privilege-escalatie bemoeilijkt
• Worden rootkit-achtige aanvallen tegengegaan
• Wordt misbruik van legitiem ondertekende drivers beperkt
• Wordt de aanvalsvector van BYOVD-technieken verkleind

De Vulnerable Driver Blocklist is daarmee een stille maar krachtige beveiligingslaag binnen Windows.

Door: Drifter