Kwetsbare drivers: BYOVD-aanvallen en bekende CVE's

Ondertekende maar kwetsbare drivers — paradoxaal genoeg stukjes software waarvan Microsoft ooit de legitimiteit met een handtekening bevestigde — zijn vandaag een van de meest gebruikte aanvalsvectoren tegen Windows-systemen. De technieken zijn samen bekend als BYOVD — Bring Your Own Vulnerable Driver.

Hoe BYOVD-aanvallen werken

1. De aanvaller verkrijgt een ondertekende driver — gedownload van een fabrikant zoals Dell, MSI, ASUS of opgevangen uit internetarchieven.
2. De driver bevat een gedocumenteerde kwetsbaarheid (CVE), bijv. een ongevalideerde IOCTL-call waarmee gebruikers zonder rechten code in de kernel kunnen uitvoeren.
3. De malware installeert de driver (ondertekend, lijkt legitiem) — Windows laadt hem zonder waarschuwing.
4. Via de kwetsbaarheid verkrijgt de malware SYSTEM-rechten — het hoogste niveau in Windows.
5. Met SYSTEM kan de aanvaller EDR, antivirus en andere beschermingen uitschakelen.

Bekende CVE's: BYOVD in de praktijk

CVE-2021-21551 — Dell DBUtil_2_3.sys

Waarschijnlijk het bekendste geval. De driver DBUtil_2_3.sys, geïnstalleerd door Dell SupportAssist, stond een ongevalideerde IOCTL toe waarmee een gebruiker zonder rechten naar elk kerneladres kon schrijven. Uitgebuit door SCATTERED SPIDER, BlackByte en vele anderen. Dell heeft het probleem in mei 2021 opgelost.

CVE-2019-16098 — MSI Afterburner RTCore64.sys

De populaire overklok-driver van MSI Afterburner gaf via IOCTL vrije toegang tot de MSR-registers van de CPU. BlackByte en andere ransomware-groepen gebruikten RTCore64 om EDR's uit te schakelen. MSI heeft het probleem opgelost in 2022 (Afterburner 4.6.5).

CVE-2021-4128 — ASUS AI Suite

De driver AsIO3.sys van ASUS AI Suite had vergelijkbare kwetsbaarheden. ASUS heeft een patch uitgebracht, maar oude versies zijn nog steeds in omloop.

CVE-2020-15368 — ASRock Polychrome RGB

De driver RGBController.sys van ASRocks RGB-software stond Privilege Escalation toe. Oplossing: bijwerken naar Polychrome 1.0.91+ of vervangen door OpenRGB.

CVE-2022-26340 — Razer Synapse rzpnk.sys

De driver rzpnk.sys van Razer Synapse stond lokale gebruikers toe SYSTEM-rechten te verkrijgen. Oplossing: Synapse 3.7+.

Bescherming tegen BYOVD-aanvallen

1. Microsoft Vulnerable Driver Blocklist

Microsoft onderhoudt een blocklist van bekende kwetsbare drivers. Activering:

• Windows 11: Instellingen → Privacy en beveiliging → Windows-beveiliging → Apparaatbeveiliging → Kernisolatie → activeer «Microsoft Vulnerable Driver Blocklist»
• De lijst wordt bij elke Patch Tuesday bijgewerkt

2. HVCI (Memory Integrity)

Hypervisor-Protected Code Integrity controleert driver-handtekeningen in de kernel en blokkeert niet-ondertekende of kwetsbare drivers. Beschikbaar vanaf Windows 10 1803, op Windows 11 standaard (op compatibele hardware).

3. Houd drivers actueel

De eenvoudigste verdediging: regelmatig de nieuwste versies installeren — fabrikanten patchen deze kwetsbaarheden meestal redelijk snel. Let vooral op:

• RGB-software (Razer Synapse, ASUS Aura, ASRock Polychrome, MSI Mystic Light)
• Overklok-tools (MSI Afterburner, Ryzen Master)
• Fabrikanttools (Dell SupportAssist, ASUS AI Suite)
• Erg oude drivers die jaren niet zijn bijgewerkt