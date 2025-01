I driver kernel sono componenti software che fungono da intermediari tra il sistema operativo e l’hardware del computer. Operano a livello kernel, la parte del sistema che ha accesso diretto a tutte le risorse hardware, come CPU, memoria, dispositivi di input/output e altre periferiche. Questi driver sono fondamentali per il corretto funzionamento del sistema, poiché consentono a Windows di comunicare con l’hardware in modo efficiente: ci sono driver per le schede grafiche, per i dispositivi di rete, per le unità di storage e così via.

Perché i driver kernel possono essere vulnerabili?

Essendo eseguiti con privilegi elevati, i driver kernel rappresentano un obiettivo interessante per i criminali informatici. Le vulnerabilità nei driver kernel possono derivare da errori di programmazione, dall’uso di interfacce non sicure, obsolescenza e utilizzo di vecchio codice che non tiene in conto le minacce di sicurezza più moderne.

Gli aggressori utilizzano le vulnerabilità presenti nei driver kernel per elevare i privilegi quindi passare da un livello utente (limitato) a quello amministrativo (completo). Le stesse lacune di sicurezza possono essere sfruttate per installare rootkit, disabilitare antivirus ed EDR (soluzioni Endpoint Detection and Response) ovvero per arrestare i processi che proteggono il sistema, nonché per manipolare il sistema operativo in profondità eseguendo codice arbitrario senza limitazioni.

Cos’è l’attacco BYOVD (Bring Your Own Vulnerable Driver) e cosa c’entra l’aggiornamento KB5049981 per Windows 10

L’attacco noto come Bring Your Own Vulnerable Driver (BYOVD) è sfruttato dai criminali informatici che utilizzano driver legittimi ma obsoleti o vulnerabili per aggirare le protezioni del sistema. Windows 11 introduce una solida protezione contro questo tipo di aggressioni ma da tempo Microsoft la sta portando anche su Windows 10.

Il pacchetto KB5049981 distribuito a metà gennaio 2025 per i sistemi Windows 10 22H2 e 21H2, integra proprio un importante aggiornamento del file DriverSiPolicy.p7b .

Contenuto nella cartella di sistema %windir%\system32\CodeIntegrity , il file DriverSiPolicy.p7b contiene una lista di driver kernel noti per le loro vulnerabilità, che possono essere sfruttate in attacchi informatici, come il BYOVD. La sua funzione principale è quella di impedire il caricamento di questi driver vulnerabili nel sistema, contribuendo così a mantenere la sicurezza del sistema operativo.

Il file DriverSiPolicy.p7b agisce quindi di fatto come una blocklist che nega il caricamento di driver noti per essere problematici sul versante della sicurezza. Inutile dire che su alcuni sistemi, specie quelli che si avvalgono ancora oggi di software datato, potrebbero verificarsi dei comportamenti anomali.

Microsoft mette le mani avanti segnalando problemi con alcune implementazioni del servizio OpenSSH nonché con i dispositivi che si servono di componenti Citrix. Non è tuttavia escluso che gli utenti possano incorrere nel mancato funzionamento di altri software e dispositivi hardware.

Credit immagine in apertura: Microsoft