Windows 10 e 11 sotto attacco: così il ransomware Akira spegne Defender con driver legittimi

In altri nostri articoli abbiamo spiegato che Microsoft Defender può essere eventualmente disattivato su richiesta intervenendo prima del boot di Windows 10 e di Windows 11. Ad esempio utilizzando un supporto di avvio (sui sistemi protetti con BitLocker è necessario conoscere la chiave di ripristino). Ne parliamo nell’approfondimento incentrato sul problema della password dimenticata in Windows 10.

Da luglio 2025, tuttavia, i ricercatori di GuidePoint Security hanno rilevato che il gruppo criminale dietro il ransomware Akira ha adottato una tecnica avanzata e insidiosa: l’abuso di driver legittimi ma vulnerabili per aggirare i meccanismi di sicurezza e compromettere i sistemi Windows.

Lo schema di attacco, noto come Bring Your Own Vulnerable Driver (BYOVD), consente agli attaccanti di sfruttare driver firmati digitalmente (contenenti delle “debolezze”) per ottenere privilegi elevati e disattivare le difese dei sistemi Windows, come Microsoft Defender.

Driver legittimi, usi malevoli

I ricercatori hanno osservato numerosi casi in cui driver di sistema come rwdrv.sys e hlpdrv.sys venivano sfruttati in attacchi riconducibili ad Akira. Il primo, rwdrv.sys, è un componente legittimo del software ThrottleStop, uno strumento di tuning delle CPU Intel, firmato e usato per gestire i meccanismi di throttling termico. Gli attaccanti lo registrano come servizio di sistema per ottenere accesso a livello kernel, bypassando così le restrizioni imposte dalle soluzioni di sicurezza.

Una volta ottenuto questo accesso privilegiato, i criminali informatici caricano un secondo driver, hlpdrv.sys, progettato appositamente per manipolare il registro di sistema di Windows e disattivare Microsoft Defender.

In particolare, il driver modifica la chiave \HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware tramite un processo automatizzato che invoca regedit.exe, impedendo a Defender di attivarsi e consentendo all’attaccante di operare indisturbato sul sistema bersaglio e, potenzialmente, di aggredire i dispositivi connessi in rete locale.

Come Microsoft sta reagendo agli attacchi BYOVD

Microsoft è pienamente consapevole del crescente abuso della tecnica BYOVD da parte di gruppi ransomware e altri attori malevoli. Di fronte a questa minaccia emergente, l’azienda di Redmond ha adottato diverse strategie reattive e proattive.

Quando l’utente aggiorna a Windows 11 da un sistema Windows 10 che fa uso di uno o più driver vulnerabili, appare il messaggio “Impossibile caricare un driver su questo dispositivo“. Ciò significa che Microsoft ha rilevato l’utilizzo di driver potenzialmente sfruttabili da parte di malintenzionati.

Microsoft ha iniziato a revocare attivamente i certificati digitali associati a driver vulnerabili utilizzati in attacchi BYOVD. Il processo impedisce che questi driver possano essere caricati anche se sono firmati. Tuttavia, la revoca effettiva richiede che il sistema supporti Secure Boot, che l’elenco dei certificati revocati (revocation list) sia aggiornato tramite Windows Update, che il BIOS UEFI del dispositivo sia compatibile con i meccanismi di protezione.

La società guidata da Satya Nadella ha inoltre aggiornato Microsoft Defender e Windows Defender Application Control (WDAC) per rilevare e bloccare il caricamento di driver noti per essere usati in attacchi BYOVD, fornire segnalazioni di sicurezza specifiche e integrare funzioni di monitoraggio comportamentale.

In Windows 10 e Windows 11, Microsoft sta promuovendo l’uso di HVCI (Hypervisor-Enforced Code Integrity), noto anche come Memory Integrity, che impedisce il caricamento di driver non conformi alle politiche di firma del kernel e blocca driver noti come vulnerabili sulla base di una blacklist mantenuta da Microsoft.