I driver del kernel sono componenti critici dei moderni sistemi operativi, come quelli di Windows. Hanno privilegi superiori persino rispetto all’utente amministratore e sono quindi un bersaglio principale per gli hacker. Gli aggressori spesso cercano di sfruttare vulnerabilità nei driver per ottenere il controllo completo del sistema.
Per prevenire questi attacchi, Microsoft richiede che i driver siano approvati e firmati digitalmente. Ciò significa che solo i driver fidati possono essere caricati nel kernel del sistema. Anche se questo design riduce il rischio di esecuzione di codice dannoso nel kernel, gli aggressori trovano comunque modi per aggirare questa restrizione. Ad esempio, sfruttando vulnerabilità in driver legittimamente firmati.
Un tipo di attacco che sfrutta queste vulnerabilità è chiamato “Bring Your Own Vulnerable Driver” (BYOVD). In questo caso, gli aggressori distribuiscono un driver legittimo ma vulnerabile sul sistema di destinazione e lo utilizzano per ottenere i privilegi necessari per compiere azioni dannose, come disabilitare i programmi antivirus. Questi attacchi, che richiedono privilegi di amministratore, vengono spesso utilizzati dopo che il sistema è stato già compromesso.
Recentemente, il nostro Malware Lab ha scoperto e descritto una vulnerabilità, denominata CVE-2024-22830, nel driver del kernel ACE-BASE.sys, utilizzato da una soluzione “anti-cheat” per alcuni giochi online popolari.
Il Lab ha segnalato il problema direttamente a Microsoft e contribuito al progetto open source LOLDrivers per segnalare il rischio alla community.
If you wish to learn more, here is the link to our full report.
In addition, you can subscribe to the specific mailing list to receive updates on upcoming reports:
