Redazione RHC : 17 Ottobre 2022 15:16
Ultimamente, gli attacchi “Bring Your Own Vulnerable Driver” (BYOVD), stanno diventando un problema complesso per i proprietari dei sistemi operativi Windows.
Questo metodo consente a un utente malintenzionato con privilegi di amministrazione di aggirare facilmente le protezioni del sistema e quindi del kernel. La base di questo attacco è che la maggior parte dei driver di Windows è progettata per interagire con un hardware specifico.
Ad esempio, se acquisti un auricolare da Logitech e lo colleghi al sistema, Windows potrebbe installare automaticamente un driver creato dalla Logitech.
 Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro.
Scarica ora la Demo di Business Log per 30gg
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Tuttavia, ci sono molti driver a livello di kernel su Windows che non sono destinati alla comunicazione con dispositivi esterni. Alcuni vengono utilizzati per il debug delle chiamate di sistema di basso livello e negli ultimi anni molti giochi per PC hanno iniziato a installarli come software anti-cheat.
Windows non consente l’esecuzione di driver in modalità kernel non firmati per impostazione predefinita, a partire da Windows Vista a 64 bit, che ha notevolmente ridotto la quantità di malware che può accedere all’intero PC.
Ciò ha portato alla crescente popolarità delle vulnerabilità “Bring Your Own Vulnerable Driver”, o BYOVD.
Tale metodo di infezione sfrutta i driver firmati esistenti invece di caricarne dei nuovi non firmati.
Quindi, invece di scrivere un exploit da zero, un criminale informatico installa semplicemente un driver di terze parti con vulnerabilità note.
Quindi utilizza queste vulnerabilità per ottenere l’accesso istantaneo ad alcune delle aree più protette di Windows.
Infatti, molti driver legittimi contengono vulnerabilità che portano al danneggiamento della memoria o consentono agli hacker di iniettare il proprio codice dannoso direttamente nel kernel. Anche dopo aver corretto i difetti, i vecchi driver con bug saranno ancora disponibili per gli attacchi BYOVD perché sono già firmati.
Microsoft è a conoscenza della minaccia BYOVD e sta lavorando per adeguare il sistema operativo. Per fermare questo genere di attacco, l’azienda crea meccanismi di blocco che impediscono a Windows di caricare driver firmati e vulnerabili.
In precedenza si è appreso che il gruppo BlackByte ha utilizzato la tecnica BYOVD per sfruttare una vulnerabilità nel driver MSI Afterburner RTCore64.sys , che consente agli hacker di aumentare i privilegi ed eseguire codice arbitrario.
Le mitigazioni software di Microsoft per i famigerati difetti di sicurezza Meltdown e Spectre del 2018 prevengono anche alcuni attacchi BYOVD e altri recenti miglioramenti nei processori x86 di Intel e AMD colmano alcune lacune.
Tuttavia, non tutti hanno i computer più recenti o le ultime versioni completamente patchate di Windows, quindi il malware che utilizza BYOVD è ancora un problema. Gli attacchi sono anche incredibilmente complicati, quindi è difficile mitigarli completamente con l’attuale modello di driver in Windows.
RedazioneI ladri sono entrati attraverso una finestra del secondo piano del Musée du Louvre, ma il museo aveva avuto anche altri problemi oltre alle finestre non protette, secondo un rapporto di audit sulla s...
Reuters ha riferito che Trump ha detto ai giornalisti durante un’intervista preregistrata nel programma “60 Minutes” della CBS e sull’Air Force One durante il viaggio di ritorno: “I chip pi�...
Il primo computer quantistico atomico cinese ha raggiunto un importante traguardo commerciale, registrando le sue prime vendite a clienti nazionali e internazionali, secondo quanto riportato dai media...
Il CEO di NVIDIA, Jen-Hsun Huang, oggi supervisiona direttamente 36 collaboratori suddivisi in sette aree chiave: strategia, hardware, software, intelligenza artificiale, pubbliche relazioni, networki...
OpenAI ha presentato Aardvark, un assistente autonomo basato sul modello GPT-5 , progettato per individuare e correggere automaticamente le vulnerabilità nel codice software. Questo strumento di inte...
