I driver Windows più vulnerabili: viaggio tra le falle Ring 0

I driver in modalità kernel su Windows operano a livello Ring 0, il più alto livello di privilegio del sistema operativo. Questa loro natura li rende obiettivi privilegiati per attacchi di tipo Local Privilege Escalation (LPE) e Remote Code Execution (RCE). Quali sono i driver più bersagliati.
Michele Nasi
Pubblicato il 7 lug 2025
I driver Windows più vulnerabili: viaggio tra le falle Ring 0

I driver in modalità kernel rappresentano da sempre uno dei vettori d’attacco più critici in ambiente Windows. La loro natura privilegiata — capaci di operare a livello Ring 0 — li rende bersagli particolarmente appetibili per gli attori malevoli, soprattutto per ottenere privilegi utente più elevati (LPE, Local Privilege Escalation) o addirittura esecuzione di codice da remoto (RCE, Remote Code Execution) con i massimi privilegi.

Tra gennaio 2022 e maggio 2025, è emerso un dato interessante: molti dei componenti di sistema più frequentemente “patchati” da Microsoft sono proprio driver. Un’analisi approfondita del portale CVE di Microsoft rivela tendenze preoccupanti ma anche evoluzioni nella strategia di mitigazione adottata dal colosso di Redmond.

Ring 0: il confine più sottile tra sicurezza e catastrofe

Rispetto ai bug nei servizi utente, che consentono escalation fino a SYSTEM ma restano in user-mode, i bug nei driver compromettono direttamente il kernel, offrendo all’attaccante un controllo totale sul sistema operativo.

In ambito informatico, Ring 0 rappresenta la frontiera più delicata e ambita. È il livello di privilegio massimo nell’architettura di protezione del sistema operativo Windows, noto anche come kernel mode. I driver caricati a questo livello hanno accesso completo all’hardware e alla memoria del sistema, rendendoli strumenti potenti – ma anche potenzialmente pericolosi – se compromessi.

Cos’è Ring 0 e perché è fondamentale nella sicurezza di Windows

Il modello di protezione a “ring” di Windows distingue tra vari livelli di privilegi, dal Ring 3 (modalità utente) al Ring 0 (modalità kernel). Le applicazioni tradizionali, anche quelle eseguite come amministratore, operano in Ring 3. I driver, invece, girano in Ring 0. Questo significa che un driver può eseguire operazioni critiche e accedere a risorse hardware senza restrizioni.

Quando un attaccante riesce a eseguire codice arbitrario in Ring 0, può ottenere il controllo totale del sistema, bypassare tutte le protezioni di sicurezza (come UAC, ASLR, DEP) e installare rootkit invisibili al sistema operativo. Da qui, l’interesse costante della comunità offensiva verso le vulnerabilità nei driver.

Con Windows 11, Microsoft ha rafforzato le contromisure contro i driver vulnerabili o non firmati digitalmente. L’errore “Impossibile caricare un driver su questo dispositivo” che può apparire dopo l’aggiornamento al nuovo sistema operativo è l’effetto diretto di questo approccio difensivo. Il blocco si attiva quando:

  • il driver è privo di firma digitale valida,
  • è noto per contenere vulnerabilità sfruttabili,
  • è incluso nella Driver Blocklist,
  • presenta caratteristiche potenzialmente malevole (come la capacità di manipolare arbitrariamente la memoria in modalità kernel).

Microsoft nasconde i dettagli (ma non del tutto)

Fino a pochi anni fa, era possibile determinare con precisione quale file binario fosse stato oggetto di un intervento correttivo, grazie alle dettagliate CVE advisory di Microsoft. Tuttavia, da metà 2023, Microsoft ha iniziato a ridurre significativamente il livello di trasparenza nei bollettini di sicurezza, raggruppando molte vulnerabilità sotto la generica categoria “Windows Drivers”, senza indicare i nomi dei file coinvolti.

Questa scelta, probabilmente pensata per ostacolare l’attività degli sviluppatori di codice exploit, ha complicato anche il lavoro dei ricercatori di sicurezza che fanno reverse engineering e sono dediti alla ricerca di nuove vulnerabilità.

Statistiche sulle patch: quali sono i driver più a rischio?

Come ha evidenziato Artem Baranov nel suo studio dedicato ai driver Windows più frequentemente patchati tra gennaio 2022 e maggio 2025, i componenti in modalità kernel sono una delle principali fonti di vulnerabilità di tipo LPE. Alcuni driver permettono addirittura l’esecuzione di codice remoto (RCE), la fuga di informazioni confidenziali dal kernel o il bypass delle protezioni di sistema.

L’analisi delle patch rilasciate nei tre anni presi in esame, rivela che alcuni driver sono stati oggetto di continue attenzioni da parte di Microsoft:

  • Tcpip.sys: il driver di rete del kernel, storicamente ricco di complessità, continua a essere una delle superfici d’attacco preferite.
  • Win32k.sys: gestisce le funzionalità grafiche e di input dell’interfaccia utente e anche se tecnicamente parte della GDI, opera in kernel-mode manifestando spesso vulnerabilità legate alla GUI.
  • Dxgkrnl.sys: il driver grafico DirectX Kernel, spesso oggetto di exploit in ambito gaming o di malware che abusano della GPU.
  • NTFS.sys e storport.sys: coinvolti in gestioni di storage e file system, spesso con bug legati alla gestione della memoria o race condition.
  • Un altro gruppo di driver, meno frequentemente patchati ma non per questo meno pericolosi, include componenti legacy o usati in ambiti ristretti (es. ISDN, stack Bluetooth, driver HID).

Exploit attivi: poche vulnerabilità, ma estremamente pericolose

Le vulnerabilità effettivamente sfruttate in-the-wild rappresentano solo una frazione rispetto a quelle individuate. Tuttavia, queste poche falle sono spesso usate in attacchi mirati o da gruppi APT. Microsoft ha dovuto rilasciare aggiornamenti out-of-band in almeno 7 casi dal 2022 al 2025 per contrastare exploit attivi che facevano leva sulla modalità kernel.

Vista la difficoltà di trovare nuove vulnerabilità zero-day nel kernel di Windows, molti malware moderni ricorrono alla tecnica BYOVD (Bring Your Own Vulnerable Driver). L’attaccante carica nel sistema un driver legittimo ma vulnerabile, firmato digitalmente, spesso prelevato da prodotti obsoleti o non più aggiornati.

Questa tecnica, seppur efficace, presenta un limite cruciale: richiede privilegi amministrativi per essere messa in atto, in particolare l’attivazione della policy SeLoadDriverPrivilege, un privilegio di sicurezza Windows che consente a un utente o a un processo di caricare e scaricare driver di dispositivo in modalità kernel (Ring 0). L’attaccante deve quindi prima ottenere l’accesso come amministratore per poter caricare il driver malevolo.

Ti consigliamo anche

Windows 11: arrivano gli sfondi desktop dinamici basati sull'AI
Sistemi Operativi

Windows 11: arrivano gli sfondi desktop dinamici basati sull'AI
Windows 11 nasconde una protezione segreta contro i link NTFS: cos’è RedirectionGuard
Sicurezza

Windows 11 nasconde una protezione segreta contro i link NTFS: cos’è RedirectionGuard
7-Zip 25.00 sblocca oltre 64 thread: compressione parallela ultraveloce
Business

7-Zip 25.00 sblocca oltre 64 thread: compressione parallela ultraveloce
Windows 11 25H2 finalmente permette di eliminare le app inutili
Windows

Windows 11 25H2 finalmente permette di eliminare le app inutili
Link copiato negli appunti