Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
970x20 Itcentric
320×100

Risultati di ricerca per: BYOVD

Nuova vulnerabilità zero-day su Paragon Partition Manager che consente attacchi BYOVD

Redazione RHC 04/03/2025

Gli aggressori sfruttano una vulnerabilità nel driver Paragon Partition Manager (BioNTdrv.sys) negli attacchi ransomware, utilizzando il driver per aumentare i privilegi ed eseguire codice arbitrario. Secondo CERT/CC , questa vulnerabilità zero-day (CVE-2025-0289) è una delle cinque vulnerabilità scoperte dai ricercatori Microsoft. “Questi includono problemi relativi alla mappatura arbitraria e alla scrittura della memoria del kernel, alla dereferenziazione del puntatore NULL, all’accesso non sicuro alle risorse del kernel e a una vulnerabilità che consente lo spostamento arbitrario dei dati nella memoria”, ha affermato il CERT/CC in una nota. Ciò significa che un aggressore con accesso locale a una macchina Windows può sfruttare le vulnerabilità per

Il BYOVD sempre più utilizzato per disabilitare gli AV/EDR. Avast, McAfee, Sophos nel mirino

Redazione RHC 26/11/2024

Gli specialisti di Trellix hanno rilevato una nuova campagna dannosa che sfrutta il vecchio e vulnerabile driver anti-rootkit di Avast (Avast Anti-Rootkit). Gli aggressori utilizzano le tattiche BYOVD (Bring Your Own Vulnerable Driver) per eludere il rilevamento e disabilitare i componenti di sicurezza. Il malware, che installa il driver vulnerabile sui sistemi delle vittime, è una variante del malware AV Killer. Viene fornito con un elenco codificato contenente i nomi di 142 processi di sicurezza associati a soluzioni di vari produttori. Poiché il vecchio driver Avast può essere eseguito a livello di kernel, fornisce agli aggressori l’accesso a parti critiche del sistema operativo

L’Arma Segreta di RansomHub per disabilitare gli EDR. Il PoC del BYOVD usato da EDRKillShifter

Pietro Melillo 02/09/2024

Negli ultimi anni, la sicurezza informatica ha subito un’evoluzione rapida per contrastare le minacce sempre più sofisticate. Tuttavia, i cybercriminali continuano a trovare nuove modalità per aggirare le difese implementate dalle organizzazioni. Un esempio recente è rappresentato dall’utilizzo di driver vulnerabili in attacchi mirati, una tecnica conosciuta come Bring Your Own Vulnerable Driver (BYOVD). In questo contesto, il gruppo di ransomware noto come RansomHub ha sfruttato un driver vulnerabile per disabilitare i sistemi di rilevamento e risposta degli endpoint (EDR) utilizzando uno strumento chiamato EDRKillShifter del quale avevamo parlato recentemente. Descrizione del Driver Vulnerabile Il driver utilizzato da RansomHub è TFSysMon (come

Aumento del 23% degli attacchi BYOVD su Microsoft Windows

Redazione RHC 28/08/2024

Gli aggressori attaccano sempre più spesso Windows utilizzando driver vulnerabili, affermano  gli esperti di Kaspersky Lab.  Nel secondo trimestre del 2024 il numero degli attacchi è aumentato di quasi il 23% rispetto al primo trimestre. I ricercatori spiegano che i driver vulnerabili consentono agli hacker di lanciare attacchi per disabilitare le soluzioni di sicurezza e aumentare i privilegi. Ciò dà loro l’opportunità di compiere diverse azioni dannose, tra cui l’introduzione di ransomware, l’inserimento nel sistema per attività di spionaggio o sabotaggio e l’esecuzione di complessi attacchi mirati. Si nota inoltre che il numero di strumenti che consentono l’utilizzo dei driver vulnerabili è in crescita.

FUDModule: il Rootkit utilizzato da Lazarus che parte da un attacco BYOVD

Redazione RHC 20/08/2024

Il gruppo Lazarus ha utilizzato una vulnerabilità zero-day nel driver Windows AFD.sys per aumentare i privilegi e installare il rootkit FUDModule, che disabilita le funzioni di monitoraggio di Windows e consente di nascondere attività dannose. Il driver Windows AFD.sys viene utilizzato per funzionare con il protocollo Winsock e funge da punto di ingresso nel kernel del sistema operativo. Il CVE-2024-38193 (punteggio CVSS: 7,8) è stato corretto come parte del Patch Tuesday di agosto. Il CVE-2024-38193 si distingue dagli altri perché consente un attacco Bring Your Own Vulnerable Driver (BYOVD). In questo caso, gli aggressori installano driver con vulnerabilità sui sistemi di destinazione e poi li utilizzano per ottenere

L’underground vende sistemi per disabilitare gli EDR più famosi! LockBit nel mentre sta sfruttando il BYOVD?

Redazione RHC 24/01/2024

E’ stato rilevato nella giornata di oggi, sul forum underground Exploit un post dove un criminale informatico mette in vendita una soluzione per disabilitare EDR best-in-class. Nello specifico il criminale informatico, chiamato LORD1, vende tale soluzione al prezzo di 7000 dollari. Gli attacchi agli EDR basati su BYOVD A giugno del 2023, un certo “Spyboy” vendeva una analoga soluzione di bypass di EDR al prezzo di 3000 dollari. L’autore forniva la soluzione per un solo EDR a 300 dollari, anche se non era possibile acquistare una versione per il solo bypass per SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex, Cylance in quanto occorreva

Lo strumento Terminator, in grado di bloccare AV/EDR/XDR, si è rilevato un attacco BYOVD

Redazione RHC 03/06/2023

Qualche giorno fa avevamo riportato di uno strumento in vendita nelle underground capace di terminare molti dispositivi Antivirus EDR e XDR. Ora sembrerebbe più chiaro il suo funzionamento. Lo strumento chiamato Terminator è distribuito sui forum di hacking in lingua russa. Il suo venditore, Spyboy, ha affermato che Terminator è in grado di bloccare qualsiasi piattaforma antivirus, XDR e EDR. Tuttavia, gli esperti di CrowdStrike sono giunti alla conclusione che, in effetti, Terminator è un attacco BYOVD. In tali attacchi, i driver legittimi firmati con certificati validi e in grado di funzionare con i privilegi del kernel vengono rilasciati sui dispositivi delle vittime per

Microsoft

Scopriamo la nuova tecnica chiamata BYOVD (Bring Your Own Vulnerable Driver)

Redazione RHC 17/10/2022

Ultimamente, gli attacchi “Bring Your Own Vulnerable Driver” (BYOVD), stanno diventando un problema complesso per i proprietari dei sistemi operativi Windows. Questo metodo consente a un utente malintenzionato con privilegi di amministrazione di aggirare facilmente le protezioni del sistema e quindi del kernel. La base di questo attacco è che la maggior parte dei driver di Windows è progettata per interagire con un hardware specifico. Ad esempio, se acquisti un auricolare da Logitech e lo colleghi al sistema, Windows potrebbe installare automaticamente un driver creato dalla Logitech.  Tuttavia, ci sono molti driver a livello di kernel su Windows che non sono destinati alla

Ransomware Akira: una nuova campagna colpisce i firewall SonicWall

Redazione RHC 28/09/2025

Dalla fine di luglio 2025 è stata registrata una nuova ondata di attacchi informatici che colpisce le organizzazioni dotate di firewall SonicWall, con la diffusione attiva del ransomware Akira. Secondo i ricercatori di Arctic Wolf Labs, l’attività malevola ha subito un incremento significativo e continua a persistere. Gli aggressori ottengono l’accesso iniziale attraverso connessioni VPN SSL compromesse, riuscendo a eludere l’autenticazione multifattore (MFA). Una volta entrati nella rete, passano rapidamente alla fase di crittografia: in alcuni casi, il tempo di permanenza prima del rilascio del ransomware è stato di appena 55 minuti. La vulnerabilità sfruttata e il ruolo delle credenziali rubate Gli

Arriva EDR-Freeze! Mette in coma profondo Windows senza driver vulnerabili

Redazione RHC 23/09/2025

Uno specialista di Zero Salarium ha presentato un metodo che disabilita temporaneamente i processi antivirus e gli agenti EDR su Windows utilizzando strumenti di sistema integrati. L’articolo descrive in dettaglio il concetto e lo strumento operativo, EDR-Freeze, un modo per interrompere specificamente i processi di monitoraggio senza installare driver vulnerabili aggiuntivi, basandosi sul comportamento dei componenti nativi del sistema operativo e sulle condizioni di competizione tra i processi. Il trucco sta nel fatto che MiniDumpWriteDump sospende forzatamente tutti i thread del processo di destinazione durante la creazione di uno snapshot, e il processo associato che attiva il dump è responsabile della sua

Categorie