I ricercatori di CrowdStrike hanno scoperto nuovi attacchi, effettuati dal gruppo Scattered Spider, che sfruttano la vulnerabilità di vecchi driver Intel per aggirare le protezioni di Windows e la rilevazione delle soluzioni di sicurezza. Il metodo, noto come BYOVD (Bring Your Own Vulnerable Driver), viene utilizzato spesso dai cybercriminali, come dimostrano i casi più recenti.
Windows, abbiamo un problema
Gli attacchi sono stati effettuati sfruttando la vulnerabilità CVE-2015-2291, presente in varie versioni del driver di diagnostica Intel Ethernet (iqvw64.sys
) per Windows, che permette di eseguire codice arbitrario con privilegi kernel. Il driver è stato firmato con certificati legittimi emessi da NVIDIA e Global Software LLC, quindi non viene bloccato da Windows. Attraverso il driver è possibile disattivare la protezione delle soluzioni di sicurezza (che sembrano funzionare normalmente).
Il gruppo Scattered Spider passa quindi alle fasi successive. Viene installato il malware o un tool di controllo remoto che permette di eseguire varie attività sul computer della vittima. Purtroppo la tecnica BYOVD ha successo perché Windows non blocca il caricamento in memoria di driver firmati vulnerabili.
La blocklist è disponibile solo in Windows 11 22H2 e viene aggiornata con ogni major release del sistema operativo. Su Windows 10 è necessario utilizzare il Windows Defender Application Control (WDAC), come spiegato in questo articolo.
La tecnica BYOVD è stata sfruttata da noti gruppi di cybercriminali, tra cui Lazarus e BlackByte. Gli utenti dovrebbero sempre utilizzare una soluzione di sicurezza che può rilevare il pericolo.