I driver del kernel sono componenti critici dei moderni sistemi operativi, come quelli di Windows. Hanno privilegi superiori persino rispetto all’utente amministratore e sono quindi un bersaglio principale per gli hacker. Gli aggressori spesso cercano di sfruttare vulnerabilità nei driver per ottenere il controllo completo del sistema.
Per prevenire questi attacchi, Microsoft richiede che i driver siano approvati e firmati digitalmente. Ciò significa che solo i driver fidati possono essere caricati nel kernel del sistema. Anche se questo design riduce il rischio di esecuzione di codice dannoso nel kernel, gli aggressori trovano comunque modi per aggirare questa restrizione. Ad esempio, sfruttando vulnerabilità in driver legittimamente firmati.
Un tipo di attacco che sfrutta queste vulnerabilità è chiamato “Bring Your Own Vulnerable Driver” (BYOVD). In questo caso, gli aggressori distribuiscono un driver legittimo ma vulnerabile sul sistema di destinazione e lo utilizzano per ottenere i privilegi necessari per compiere azioni dannose, come disabilitare i programmi antivirus. Questi attacchi, che richiedono privilegi di amministratore, vengono spesso utilizzati dopo che il sistema è stato già compromesso.
Recentemente, il nostro Malware Lab ha scoperto e descritto una vulnerabilità, denominata CVE-2024-22830, nel driver del kernel ACE-BASE.sys, utilizzato da una soluzione “anti-cheat” per alcuni giochi online popolari.
Il Lab ha segnalato il problema direttamente a Microsoft e contribuito al progetto open source LOLDrivers per segnalare il rischio alla community.
Se desideri approfondire ecco il link al nostro report completo.
Inoltre, puoi registrarti alla mailing list specifica, per ricevere aggiornamenti sui prossimi report:
