Il kernel di Windows funge da ponte fondamentale per collegare l’hardware al sistema operativo. Grazie alle sue robuste misure di sicurezza predefinite, è difficile per il malware infiltrarsi nel sistema. Tuttavia, le crescenti minacce di bypass KASLR stanno ora sfruttando le vulnerabilità dei driver Living Off the Land (LOLDrivers) e gli attacchi di cache timing per eludere i permessi di accesso elevati. Sebbene questi attacchi abbiano storicamente preso di mira i sistemi più vecchi, le prove suggeriscono che ora minacciano Windows 11 24H2, esponendo la memoria critica del kernel. Di seguito è riportata una guida completa su come colmare efficacemente queste falle nella sicurezza.
Comprendere le minacce di bypass KASLR
Il kernel di Windows regola meticolosamente l’accesso alle risorse di sistema vitali, inclusi memoria e utilizzo della CPU. Una delle principali misure difensive impiegate è la Kernel Address Space Layout Randomization (KASLR), progettata per oscurare le posizioni di memoria, rendendo così estremamente difficile l’accesso ai malware a livello kernel. Tuttavia, recenti progressi hanno portato all’utilizzo di un nuovo driver, eneio64.sys, che ha bypassato con successo le protezioni KASLR in Windows 11 24H2 a partire da giugno 2025.
Questo driver specifico è classificato come LOLDriver e può essere compromesso utilizzando la tecnica nota come “Low Stub”.In sostanza, gli aggressori sfruttano la scansione della memoria e ipotesi plausibili per individuare l’indirizzo di memoria di base del sistema. L’aggiramento del kernel apre le porte a un’attività di sfruttamento reale, evidenziando un livello di minaccia critico.
È possibile ispezionare manualmente la cartella System32 per individuare questi driver. Se non si rilevano driver problematici, significa che sono assenti o sono stati rimossi correttamente.
Un altro exploit degno di nota, avvenuto a maggio 2025, ha utilizzato metodi di cache timing per bypassare completamente KASLR. In questo caso, gli aggressori hanno misurato la latenza di accesso a potenziali indirizzi kernel entro un intervallo “0xfff” senza dover ottenere permessi come SeDebugPrivilege. Sebbene questo attacco si sia concentrato principalmente su Windows 10 e sulle versioni precedenti di Windows 11 (21H2, 22H2, 23H2), è essenziale per gli utenti di Windows 11 passare a 24H2 o versioni successive per rafforzare le proprie difese. Per gli utenti che riscontrano problemi di compatibilità durante l’aggiornamento a 24H2, abbiamo compilato un elenco di soluzioni efficaci per facilitare una transizione senza intoppi.
Identificazione dei LOLDriver per mitigare i rischi di bypass KASLR
Dopo il 2025, i miglioramenti alla sicurezza del kernel in Windows 11 24H2 hanno sfruttato SeDebugPrivilege per offrire una maggiore protezione. Tuttavia, gli autori di attacchi continuano a sfruttare le tecniche di bypass di KASLR tramite LOLDrivers per infiltrarsi nell’ultima iterazione di Windows 11.
Per verificare la presenza di driver di sistema problematici, avviare PowerShell in modalità elevata ed eseguire il seguente comando:
Get-WindowsDriver -Online | Where-Object { $_. OriginalFileName -match "sys"} | Format-Table OriginalFileName, ProviderName
Dopo aver eseguito questo comando, monitora l’output per i driver LOLDriver. Esempi di tali driver includono MsIo64.sys, nt3.sys e VBoxTap.sys. Per aumentare la tua vigilanza, consulta un elenco universale di driver LOLDriver.
Microsoft fornisce un elenco completo e aggiornato di driver bloccati o obsoleti, che include LOLDrivers.È possibile scaricare questo elenco come file XML e cercare specificamente driver problematici come enio64.sys utilizzando:
Get-WindowsDriver -Online | Where-Object { $_. OriginalFileName -match "eneio64.sys"}
Il metodo descritto garantisce che il dispositivo sia protetto da LOLDriver vulnerabili che potrebbero facilitare l’aggiramento di KASLR. Un approccio più intuitivo prevede di accedere a Sicurezza di Windows -> Sicurezza dispositivo -> Dettagli isolamento core e confermare che l’integrità della memoria sia attivata.
Le tecniche di bypass di KASLR assomigliano al comportamento del malware Winos 4.0. Entrambe sono altamente persistenti e distribuiscono payload attraverso una complessa catena di attacchi.
Rafforzamento della sicurezza di Windows mediante l’applicazione di SeDebugPrivilege
Gli attacchi side-channel basati sul Cache Timing rappresentano un rischio significativo associato alle tecniche di bypass di KASLR. Quando gli aggressori sfruttano vari metodi per manipolare direttamente la memoria del kernel, possono esporre gli indirizzi del kernel senza richiedere SeDebugPrivilege, una misura di sicurezza critica implementata fin dall’avvento di Windows 11 24H2.
Tuttavia, anche gli utenti che utilizzano Windows 10 e versioni precedenti di Windows 11 possono comunque rafforzare i propri sistemi applicando SeDebugPrivilege. Ecco un modo rapido per farlo:
Su un dispositivo Windows 10/11 Pro o Enterprise, premere il comando Esegui, secpol.mscquindi Invio per aprire la finestra Criteri di sicurezza locali. Andare a Criteri locali -> Assegnazione diritti utente e fare doppio clic su Debug programmi.
Dopo aver aggiunto nuovi utenti, fai clic su “Controlla nomi” e premi OK. Infine, seleziona “Applica” e fai nuovamente clic su OK per finalizzare le modifiche.
Se utilizzi Windows 10/11 Home, non hai accesso ai Criteri di sicurezza locali. In alternativa, accedi all’Editor del Registro di sistema digitando regedit. Vai a
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Se questa chiave non è già presente, creala. Fai clic con il pulsante destro del mouse per creare un nuovo valore REG_SZ denominato SeDebugPrivilege, modificandone il valore a Administrators. Ricordati di eseguire sempre un backup del registro prima di apportare modifiche.
Per contrastare le minacce malware orientate al kernel, come i bypass di KASLR, è fondamentale impedire l’installazione di driver segnalati da Windows Security. Sebbene in rari casi sia necessario utilizzare driver non firmati, è fondamentale seguire le best practice in questo ambito. Mantenere il sistema operativo aggiornato e adottare l’ultima versione di Windows è fondamentale per garantire la sicurezza del sistema.
Domande frequenti
1. Che cos’è KASLR e perché è importante per la sicurezza di Windows?
KASLR, o Kernel Address Space Layout Randomization, è una funzionalità di sicurezza di Windows che randomizza l’allocazione della memoria per i processi del kernel, rendendo significativamente più difficile per il malware prevedere dove iniettare codice dannoso. Questo layout randomizzato aggiunge un livello fondamentale di difesa contro gli attacchi a livello di kernel.
2. Come posso verificare la presenza di LOLDrivers sul mio computer Windows?
Puoi facilmente verificare la presenza di LOLDrivers utilizzando PowerShell in modalità con privilegi elevati. Esegui il comando Get-WindowsDriver -Online | Where-Object { $_. OriginalFileName -match "sys"} | Format-Table OriginalFileName, ProviderNameper visualizzare un elenco dei driver attualmente installati sul tuo sistema.
3. Cosa devo fare se il mio sistema ha driver obsoleti o non sicuri?
Se si riscontrano driver obsoleti o potenzialmente non sicuri, si consiglia di disinstallarli e sostituirli con driver sicuri e aggiornati, consigliati da Microsoft. Inoltre, è possibile scaricare l’elenco dei driver bloccati più recente da Microsoft per identificare e impedire l’installazione di driver notoriamente non sicuri.
Articoli correlati:
6 app per PC a pagamento che valgono sempre l’investimento
21:04
La mia esperienza di una settimana con il software open source: scoperte sorprendenti
20:14
Trasforma la tua esperienza con Windows 11 con questi trucchi Winget
20:09
Lascia un commento