Хак с реестром ОС даёт возможность обойти патчи Windows 11 с блокировкой приложений

Последние обновления Windows 11 (KB5083769 и KB5083631) внесли изменение, препятствующее корректной работе некоторых сторонних приложений для резервного копирования. Они блокируют драйверы, используемые программами для создания образов дисков, такими как Macrium Reflect, поскольку они входят в список уязвимых драйверов Microsoft. Ограничение можно обойти через хак с реестром ОС.

Драйвер ядра psmounterex.sys, который позволяет монтировать образы резервных копий в качестве виртуальных дисков, помечается и блокируется операционной системой после последних обновлений. Microsoft заявила, что это ограничение призвано повысить защита системы, поскольку драйвер использует доступ на уровне ядра, что может представлять риски в случае его эксплуатации. 

Задача, очевидно, привлекла внимание пользователей, которые используют Macrium Reflect для резервного копирования и восстановления системы. Без этого драйвера программное обеспечение не может монтировать образы, что ограничивает его функциональность. Обсуждения в сообществе выявили потенциальные обходные пути. В частности, на форуме Malwarebytes пользователи поделились временным решением с помощью взлома реестра. Обходной путь включает в себя отключение списка блокировки уязвимых драйверов путем выполнения следующей команды с повышенными (административными) правами в командной строке: 

reg add "HKLM\SYSTEM\CurrentControlSet\Control\CI\Config" /v VulnerableDriverBlocklistEnable /t REG_DWORD /d 0 /f

Это установит значение VulnerableDriverBlocklistEnable равным 0, после чего потребуется перезагрузка. Тем не менее хак подвергает систему риску, поэтому потребуется вернуть значение к 1 после завершения операции.

Джо Аллен из британской службы поддержки Macrium подтвердил, что организация изучает эту проблему. В одном из сообщений на форуме он написал: «Файл psmounterex.sys не используется в версии X (10), поэтому вы можете монтировать образы с помощью X. Эта задача затронет только пользователей версии 8.1, установивших последнее обновление Windows 11 (KB5083769). Мы продолжаем дальнейшее расследование и будем предоставлять обновления по ходу поступления новой информации».

Ранее Microsoft исправила проблему, из-за которой новые предупреждения безопасности Windows отображались некорректно при открытии файлов удалённого рабочего стола (.rdp). Ошибку устранили в необязательном предварительном накопительном обновлении KB5083631 для Windows 11.