AVG Driver Updater
powered by Engelmann Software
DEENFRESITNL
Driver Updater
Problem · Bezpieczeństwo

Podatne sterowniki — luki bezpieczeństwa CVE i ataki BYOVD

Niektóre sterowniki — często wciąż podpisane przez Microsoft — mają znane luki bezpieczeństwa (CVE), które są wykorzystywane do ataków typu BYOVD (Bring Your Own Vulnerable Driver). Wyjaśniamy, czym to jest i jak się chronić.

Opublikowano: 2026-05-02 Czas czytania: 1 min

Bring Your Own Vulnerable Driver (BYOVD) to typ ataku, w którym malware nie wykorzystuje luki w obecnych sterownikach systemu, lecz instaluje świadomie podatny, ale wciąż prawomocnie podpisany sterownik. Atakujący korzystają z faktu, że Windows uznaje podpis Microsoftu lub WHQL bez sprawdzania, czy podpisany sterownik został później zidentyfikowany jako niebezpieczny.

Najsłynniejsze przypadki CVE

CVE-2021-21551 — Dell DBUtil

Sterownik Dell DBUtil_2_3.sys miał lukę pozwalającą każdemu procesowi na uzyskanie pełnych uprawnień jądra. Wykorzystywane przez ransomware. NIST NVD

CVE-2019-16098 — MSI Afterburner / RTCore64

Sterownik MSI Afterburner RTCore64.sys umożliwiał odczyt/zapis dowolnej pamięci jądra. Wciąż używany w atakach (legalnie podpisany!). NIST NVD

CVE-2024-0090 — Nvidia GPU Driver

Lokalna eskalacja uprawnień przez sterownik graficzny Nvidia. Naprawione w aktualnych wersjach. NIST NVD

CVE-2020-15368 — ASRock Polychrome RGB

Sterownik AsrDrv101.sys dla podświetlenia RGB miał lukę pozwalającą na zapis pamięci jądra. Niewinne RGB → narzędzie ataku. NIST NVD

Znajdź przestarzałe sterowniki automatycznie

AVG Driver Updater porównuje zainstalowane sterowniki z bazą CVE i ostrzega o znanych podatnościach.

Więcej informacji

Jak się chronić przed BYOVD

Microsoft Vulnerable Driver Blocklist

Microsoft prowadzi listę znanych podatnych sterowników. Włączona domyślnie w Windows 11. Dla Windows 10:

  1. Zabezpieczenia Windows → Zabezpieczenia urządzenia → Izolacja rdzenia → Szczegóły
  2. Włącz "Microsoft Vulnerable Driver Blocklist"
  3. Restart

Pełna dokumentacja

HVCI (Hypervisor-protected Code Integrity)

Wymusza, że tylko podpisany kod jądra może działać. Kombinacja z VBS (Virtualization-based Security). Włącz przez:

Zabezpieczenia Windows → Zabezpieczenia urządzenia → Izolacja rdzenia → Integralność pamięci → Włącz

LOLDrivers Project

Społeczność prowadzi LOLDrivers (Living Off The Land) — bazę znanych podatnych sterowników z hashami i wskaźnikami detekcji. Pomocna dla SOC, antywirusów, OS hardening.

Praktyczne zalecenia

  1. Aktualizuj sterowniki — większość CVE ma poprawkę. Tylko stare, niekonserwowane mają lukę.
  2. Odinstaluj nieużywane — narzędzia RGB, oprogramowanie monitorujące, które nie są w użyciu
  3. Włącz Microsoft Vulnerable Driver Blocklist — bezpłatna ochrona
  4. Włącz HVCI — szczególnie ważne dla maszyn wrażliwych (server, workstation)
  5. Sprawdzaj nieoczekiwane sterowniki — Menedżer urządzeń → Widok → Pokaż ukryte urządzenia. Cokolwiek nieznanego: zbadać

Często zadawane pytania

Nie. WHQL potwierdza tylko, że sterownik jest stabilny i kompatybilny — nie że nie ma luk bezpieczeństwa. Wiele podatnych sterowników jest WHQL.

Częściowo. Nowoczesne EDR/AV (Defender, ESET, Kaspersky) wykrywają podatne sterowniki. Ale lista nie jest pełna — Microsoft Blocklist + HVCI to dodatkowa warstwa.

Tak, ~5-10% w niektórych zadaniach (głównie GPU virtualization, gry). Decyzja: bezpieczeństwo vs wydajność.

Najpierw aktualizuj producenta. Jeśli brak nowszej wersji: odinstaluj sterownik (jeśli to możliwe), zainstaluj alternatywę (np. zamiast MSI Afterburner użyj HWiNFO64).

Lassen Sie Ihre Treiber automatisch prüfen.

AVG Driver Updater scannt Ihren PC, erkennt veraltete und vulnerable Treiber und installiert die richtigen Versionen — sicher, geprüft, von den Original-Entwicklern.

Jetzt prüfen lassen