I driver firmati ma vulnerabili — paradossalmente pezzi di software la cui legittimità Microsoft ha confermato un tempo con la firma — sono oggi uno dei vettori di attacco più usati contro i sistemi Windows. Le tecniche sono note collettivamente come BYOVD — Bring Your Own Vulnerable Driver.
Come funzionano gli attacchi BYOVD
- L’attaccante ottiene un driver firmato — scaricato da un produttore come Dell, MSI, ASUS o catturato da archivi su internet.
- Il driver ha una vulnerabilità documentata (CVE), es. una chiamata IOCTL non validata che permette a utenti senza privilegi di eseguire codice nel kernel.
- Il malware installa il driver (firmato, sembra legittimo) — Windows lo carica senza avviso.
- Tramite la vulnerabilità, il malware ottiene privilegi SYSTEM — il livello più alto di Windows.
- Con SYSTEM, l’attaccante può disattivare EDR, antivirus e altre protezioni.
CVE famosi: BYOVD nella pratica
CVE-2021-21551 — Dell DBUtil_2_3.sys
Probabilmente il caso più noto. Il driver DBUtil_2_3.sys, installato da Dell SupportAssist, permetteva tramite un IOCTL non validato a un utente senza privilegi di scrivere a qualsiasi indirizzo del kernel. Sfruttato da SCATTERED SPIDER, BlackByte e molti altri. Dell ha corretto il problema a maggio 2021.
CVE-2019-16098 — MSI Afterburner RTCore64.sys
Il popolare driver di overclocking di MSI Afterburner permetteva via IOCTL accesso libero ai registri MSR della CPU. BlackByte e altri gruppi ransomware hanno usato RTCore64 per disattivare gli EDR. MSI ha corretto il problema nel 2022 (Afterburner 4.6.5).
CVE-2021-4128 — ASUS AI Suite
Il driver AsIO3.sys di ASUS AI Suite aveva vulnerabilità simili. ASUS ha rilasciato una patch, ma vecchie versioni continuano a circolare.
CVE-2020-15368 — ASRock Polychrome RGB
Il driver RGBController.sys del software RGB di ASRock permetteva Privilege Escalation. Soluzione: aggiorna a Polychrome 1.0.91+ o sostituisci con OpenRGB.
CVE-2022-26340 — Razer Synapse rzpnk.sys
Il driver rzpnk.sys di Razer Synapse permetteva a utenti locali di ottenere diritti SYSTEM. Soluzione: Synapse 3.7+.
AVG Driver Updater rileva automaticamente le versioni vulnerabili note — prima che diventino vettore di attacco.
Protezione contro gli attacchi BYOVD
1. Microsoft Vulnerable Driver Blocklist
Microsoft mantiene una blocklist dei driver vulnerabili noti. Attivazione:
- Windows 11: Impostazioni → Privacy e sicurezza → Sicurezza di Windows → Sicurezza dispositivo → Isolamento del kernel → attiva «Microsoft Vulnerable Driver Blocklist»
- L’elenco si aggiorna con i Patch Tuesday
2. HVCI (Memory Integrity)
Hypervisor-Protected Code Integrity verifica le firme dei driver nel kernel e blocca driver non firmati o vulnerabili. Compatibile da Windows 10 1803, su Windows 11 è standard (su hardware compatibile).
3. Mantieni i driver aggiornati
La difesa più semplice: installare regolarmente le versioni più recenti — i produttori correggono queste vulnerabilità abbastanza rapidamente. Controlla soprattutto:
- Software RGB (Razer Synapse, ASUS Aura, ASRock Polychrome, MSI Mystic Light)
- Strumenti di overclocking (MSI Afterburner, Ryzen Master)
- Strumenti del produttore (Dell SupportAssist, ASUS AI Suite)
- Driver molto datati senza aggiornamenti da anni
Fonti aggiuntive
Fonti autorevoli per approfondire:
- Microsoft Vulnerable Driver Blocklist
- CVE-2021-21551 — Dell DBUtil
- CVE-2019-16098 — MSI RTCore64
- LOLDrivers Project
Domande frequenti
Sì. Quasi tutti i gruppi ransomware moderni usano attacchi BYOVD per disattivare gli EDR. Senza protezione, un sistema con vecchi driver vulnerabili è attaccabile.
Minimo (~5% massimo in carichi estremi), in genere non percepibile. Per il gaming: a volte serve un driver più recente, ma le prestazioni si mantengono.
Solo versioni esplicitamente vulnerabili. Le versioni attuali dello stesso software continuano a funzionare. Se un tuo driver viene bloccato: aggiorna alla versione più recente.
Manualmente: esegui «msinfo32» → riepilogo del sistema → carica la sezione Drivers, controlla le versioni. Comodo: AVG Driver Updater confronta con database CVE e avvisa.