Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 17 Ottobre 2022 15:16
Ultimamente, gli attacchi “Bring Your Own Vulnerable Driver” (BYOVD), stanno diventando un problema complesso per i proprietari dei sistemi operativi Windows.
Questo metodo consente a un utente malintenzionato con privilegi di amministrazione di aggirare facilmente le protezioni del sistema e quindi del kernel. La base di questo attacco è che la maggior parte dei driver di Windows è progettata per interagire con un hardware specifico.
Ad esempio, se acquisti un auricolare da Logitech e lo colleghi al sistema, Windows potrebbe installare automaticamente un driver creato dalla Logitech.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Tuttavia, ci sono molti driver a livello di kernel su Windows che non sono destinati alla comunicazione con dispositivi esterni. Alcuni vengono utilizzati per il debug delle chiamate di sistema di basso livello e negli ultimi anni molti giochi per PC hanno iniziato a installarli come software anti-cheat.
Windows non consente l’esecuzione di driver in modalità kernel non firmati per impostazione predefinita, a partire da Windows Vista a 64 bit, che ha notevolmente ridotto la quantità di malware che può accedere all’intero PC.
Ciò ha portato alla crescente popolarità delle vulnerabilità “Bring Your Own Vulnerable Driver”, o BYOVD.
Tale metodo di infezione sfrutta i driver firmati esistenti invece di caricarne dei nuovi non firmati.
Quindi, invece di scrivere un exploit da zero, un criminale informatico installa semplicemente un driver di terze parti con vulnerabilità note.
Quindi utilizza queste vulnerabilità per ottenere l’accesso istantaneo ad alcune delle aree più protette di Windows.
Infatti, molti driver legittimi contengono vulnerabilità che portano al danneggiamento della memoria o consentono agli hacker di iniettare il proprio codice dannoso direttamente nel kernel. Anche dopo aver corretto i difetti, i vecchi driver con bug saranno ancora disponibili per gli attacchi BYOVD perché sono già firmati.
Microsoft è a conoscenza della minaccia BYOVD e sta lavorando per adeguare il sistema operativo. Per fermare questo genere di attacco, l’azienda crea meccanismi di blocco che impediscono a Windows di caricare driver firmati e vulnerabili.
In precedenza si è appreso che il gruppo BlackByte ha utilizzato la tecnica BYOVD per sfruttare una vulnerabilità nel driver MSI Afterburner RTCore64.sys , che consente agli hacker di aumentare i privilegi ed eseguire codice arbitrario.
Le mitigazioni software di Microsoft per i famigerati difetti di sicurezza Meltdown e Spectre del 2018 prevengono anche alcuni attacchi BYOVD e altri recenti miglioramenti nei processori x86 di Intel e AMD colmano alcune lacune.
Tuttavia, non tutti hanno i computer più recenti o le ultime versioni completamente patchate di Windows, quindi il malware che utilizza BYOVD è ancora un problema. Gli attacchi sono anche incredibilmente complicati, quindi è difficile mitigarli completamente con l’attuale modello di driver in Windows.
RedazioneUn’episodio di cyberattacco ha interessato Leroy Merlin, coinvolgendo i dati personali di numerosi clienti in Francia, con un impatto su centinaia di migliaia di individui. Leroy Merlin assicura che...
Gli sforzi dei legislatori e delle forze dell’ordine per contrastare il riciclaggio di denaro e le procedure più complesse di verifica delle schede SIM non hanno indebolito in modo significativo la...
Sviluppatori e amministratori di tutto il mondo stanno aggiornando urgentemente i propri server a seguito della scoperta di una vulnerabilità critica in React Server, che consente agli aggressori di ...
Il panorama della sicurezza informatica moderna è imprescindibile dalla conoscenza della topografia del Dark Web (DW), un incubatore di contenuti illeciti essenziale per la criminalità organizzata. ...
Dalla pubblicazione pubblica di ChatGPT nel novembre 2022, l’intelligenza artificiale (AI) è stata integrata in molti aspetti della società umana. Per i proprietari e gli operatori delle infrastru...
