
L’emergere dell’attacco BYOVD (Bring Your Own Vulnerable Driver) evidenzia una vulnerabilità preoccupante nei driver legittimi firmati. Questa forma di sfruttamento consente ai criminali informatici di eseguire codice a livello di kernel, eludere il rilevamento da parte di Microsoft Defender e successivamente distribuire ransomware. Per proteggere il sistema, è fondamentale implementare le misure di protezione descritte in questa guida.
Comprendere l’attacco BYOVD e il suo impatto su Microsoft Defender
L’attacco BYOVD utilizza principalmente il driver rwdrv.sys che, sebbene solitamente associato ad applicazioni legittime come Throttlestop o vari software di controllo delle ventole, può essere manipolato per ottenere un accesso non autorizzato al kernel. Ecco una descrizione dettagliata del processo di attacco:
- Gli aggressori si infiltrano nel PC preso di mira, spesso compromettendo la rete o utilizzando Trojan di accesso remoto (RAT).
- Una volta ottenuto l’accesso, installano il driver attendibile rwdrv.sys.
- Questo driver viene sfruttato per ottenere privilegi elevati, consentendo l’installazione del driver dannoso hlpdrv.sys.
- Il driver hlpdrv.sys modifica quindi le impostazioni del Registro di sistema di Windows, disabilitando di fatto le funzionalità di protezione di Microsoft Defender.
- Una volta aggirate queste difese, gli aggressori sono liberi di installare ransomware o di dedicarsi ad altre attività dannose.
Attualmente, il ransomware Akira è stato collegato a questi attacchi. Tuttavia, con Microsoft Defender reso inefficace, gli aggressori potrebbero eseguire una vasta gamma di operazioni dannose.È fondamentale rimanere vigili adottando le seguenti misure preventive.
Miglioramento delle funzionalità di sicurezza di Windows
Windows include funzionalità di sicurezza in grado di contrastare tali attacchi, anche quando Microsoft Defender è compromesso. Per rafforzare le tue difese, cerca “Sicurezza di Windows” nel menu Start e attiva le seguenti opzioni di sicurezza, che potrebbero essere disabilitate per impostazione predefinita:
- Accesso controllato alle cartelle: questa funzionalità protegge dalle minacce ransomware anche se Defender è offline. Vai a Protezione da virus e minacce → Gestisci impostazioni → Gestisci accesso controllato alle cartelle e attiva l’opzione per attivarla. Puoi anche designare cartelle specifiche per offrire una protezione aggiuntiva contro gli attacchi ransomware.

- Funzionalità di isolamento del core: l’abilitazione di queste funzionalità può impedire l’installazione di driver vulnerabili e bloccare l’esecuzione di codice dannoso. Assicurarsi che queste impostazioni siano attive può migliorare significativamente la sicurezza del sistema, bloccando potenzialmente gli attacchi BYOVD prima che possano infiltrarsi. Accedere a Sicurezza dispositivo e accedere ai dettagli di isolamento del core. Si consiglia di abilitare tutte le funzionalità qui; tuttavia, tenere presente che l’attivazione di Integrità della memoria potrebbe richiedere ulteriori modifiche ai driver.

Rimozione delle utilità non necessarie a livello di kernel
Si consiglia cautela quando si utilizzano strumenti di utilità che operano a livello di kernel, poiché molti utilizzano il driver rwdrv.sys. Quando questo driver è già presente su un sistema, semplifica il lavoro degli aggressori, poiché non è necessario installarne una copia aggiuntiva. Questi driver già installati sono stati sfruttati in attacchi recenti. Se non si necessita di questi strumenti di utilità, si consiglia di interromperne l’utilizzo, in particolare quelli come Throttlestop o RWEverything che installano rwdrv.sys.
Per verificare se rwdrv.sys è installato, digita “cmd” nella barra di ricerca di Windows, fai clic con il pulsante destro del mouse su Prompt dei comandi e seleziona Esegui come amministratore. Esegui il comando where /r C:\ rwdrv.sys
per eseguire una scansione. Se l’output indica la presenza di rwdrv.sys, identifica e disinstalla l’applicazione responsabile della sua installazione.

Utilizzo di account utente standard per le operazioni quotidiane
Per una protezione ottimale contro minacce come BYOVD, è consigliabile utilizzare un account standard per le attività quotidiane anziché un account amministratore. Questa strategia è particolarmente significativa poiché l’attacco sfrutta i privilegi di amministratore per installare o sfruttare driver vulnerabili.
Utilizzando un account standard, gli hacker avranno difficoltà a implementare modifiche sofisticate al sistema, impedendo all’attacco di avanzare. In caso di tentativo di intrusione, riceverai notifiche sull’azione. Per creare un nuovo account standard, accedi a Impostazioni di Windows, seleziona Account → Altri utenti → Aggiungi account e segui le istruzioni per configurare un nuovo account con privilegi standard.

Esplorazione di soluzioni antivirus alternative
Questo specifico attacco è stato progettato per disattivare le protezioni di Microsoft Defender; tuttavia, è meno efficace contro soluzioni antivirus di terze parti. Queste applicazioni utilizzano metodi diversi per gestire le proprie funzioni di protezione, rendendo difficile il successo uniforme di attacchi come BYOVD.
Per aumentare la sicurezza, valuta l’installazione di un programma antivirus gratuito e affidabile con funzionalità di scansione in tempo reale, come Avast o AVG Antivirus.
I ricercatori di sicurezza di organizzazioni come GuidePoint e Kaspersky hanno già monitorato l’uso di rwdrv.sys in attacchi BYOVD con il ransomware Akira e hanno pubblicato indicatori di compromissione (IoC).Pur auspicando soluzioni future da parte di Microsoft per risolvere questa vulnerabilità, mantenete un atteggiamento proattivo attivando tutte le funzionalità di sicurezza di Windows disponibili, in particolare le funzionalità avanzate di Microsoft Defender.
Lascia un commento