Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 17 Ottobre 2022 15:16
Ultimamente, gli attacchi “Bring Your Own Vulnerable Driver” (BYOVD), stanno diventando un problema complesso per i proprietari dei sistemi operativi Windows.
Questo metodo consente a un utente malintenzionato con privilegi di amministrazione di aggirare facilmente le protezioni del sistema e quindi del kernel. La base di questo attacco è che la maggior parte dei driver di Windows è progettata per interagire con un hardware specifico.
Ad esempio, se acquisti un auricolare da Logitech e lo colleghi al sistema, Windows potrebbe installare automaticamente un driver creato dalla Logitech.
Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)
Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà
la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Tuttavia, ci sono molti driver a livello di kernel su Windows che non sono destinati alla comunicazione con dispositivi esterni. Alcuni vengono utilizzati per il debug delle chiamate di sistema di basso livello e negli ultimi anni molti giochi per PC hanno iniziato a installarli come software anti-cheat.
Windows non consente l’esecuzione di driver in modalità kernel non firmati per impostazione predefinita, a partire da Windows Vista a 64 bit, che ha notevolmente ridotto la quantità di malware che può accedere all’intero PC.
Ciò ha portato alla crescente popolarità delle vulnerabilità “Bring Your Own Vulnerable Driver”, o BYOVD.
Tale metodo di infezione sfrutta i driver firmati esistenti invece di caricarne dei nuovi non firmati.
Quindi, invece di scrivere un exploit da zero, un criminale informatico installa semplicemente un driver di terze parti con vulnerabilità note.
Quindi utilizza queste vulnerabilità per ottenere l’accesso istantaneo ad alcune delle aree più protette di Windows.
Infatti, molti driver legittimi contengono vulnerabilità che portano al danneggiamento della memoria o consentono agli hacker di iniettare il proprio codice dannoso direttamente nel kernel. Anche dopo aver corretto i difetti, i vecchi driver con bug saranno ancora disponibili per gli attacchi BYOVD perché sono già firmati.
Microsoft è a conoscenza della minaccia BYOVD e sta lavorando per adeguare il sistema operativo. Per fermare questo genere di attacco, l’azienda crea meccanismi di blocco che impediscono a Windows di caricare driver firmati e vulnerabili.
In precedenza si è appreso che il gruppo BlackByte ha utilizzato la tecnica BYOVD per sfruttare una vulnerabilità nel driver MSI Afterburner RTCore64.sys , che consente agli hacker di aumentare i privilegi ed eseguire codice arbitrario.
Le mitigazioni software di Microsoft per i famigerati difetti di sicurezza Meltdown e Spectre del 2018 prevengono anche alcuni attacchi BYOVD e altri recenti miglioramenti nei processori x86 di Intel e AMD colmano alcune lacune.
Tuttavia, non tutti hanno i computer più recenti o le ultime versioni completamente patchate di Windows, quindi il malware che utilizza BYOVD è ancora un problema. Gli attacchi sono anche incredibilmente complicati, quindi è difficile mitigarli completamente con l’attuale modello di driver in Windows.
RedazioneNegli ultimi giorni, il panorama della cybersecurity italiana è stato scosso da una serie di massicci data leak che hanno esposto centinaia di migliaia di informazioni sensibili di cittadini e az...
Red Hot Cyber, come ogni anno all’interno della RHC Conference, ospiterà la nuova Capture The Flag realizzata in collaborazione con CyberSecurityUP e Hackmageddon e Fondazione Bruno Kessle...
Su BreachForum un utente dallo pseudonimo BoZar45, con un post pubblicato il 6 marzo 2025, proporne in vendita accessi VPN e amministrativi a firewall di aziende, enti governativi e militari. I prezzi...
Negli ultimi giorni, un utente del forum underground “BreachForums” ha pubblicato un annuncio riguardante la presunta vendita di accessi a caselle di posta elettronica appartenenti al Mi...
Negli Stati Uniti è stata individuata una nuova frode: i criminali inviano false richieste di riscatto via posta per conto del gruppo BianLian. Le buste indicano che il mittente è “BI...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
