BYOVD (Bring Your Own Vulnerable Driver)
¿Qué es BYOVD (Bring Your Own Vulnerable Driver)?
BYOVD (Bring Your Own Vulnerable Driver)Técnica de ataque en la que el adversario carga un controlador de kernel firmado legítimamente pero vulnerable y explota su fallo para obtener acceso a nivel de kernel y desactivar las herramientas de seguridad.
Bring Your Own Vulnerable Driver (BYOVD) es una técnica de evasión de defensas y escalada de privilegios en la que el atacante despliega en el sistema objetivo un controlador en modo kernel firmado legítimamente pero vulnerable, y abusa de su fallo para ejecutar código o leer y escribir memoria en el kernel. Como el controlador lleva una firma digital válida, se carga incluso en sistemas que aplican la verificación de firmas de controladores, otorgando al adversario privilegios de anillo 0 que los controles en modo usuario no pueden detener. Desde el kernel, los atacantes suelen detener o cegar la protección de endpoints, eliminar protecciones de procesos, instalar rootkits o manipular el registro de eventos. Las defensas incluyen la lista de bloqueo de controladores vulnerables de Microsoft, la Integridad de Código Protegida por Hipervisor (HVCI) y las reglas de reducción de superficie de ataque; el proyecto comunitario LOLDrivers cataloga controladores vulnerables conocidos.
● Ejemplos
- 01
El ransomware RobbinHood abusó de un controlador de placa base de Gigabyte firmado y vulnerable para desactivar el antivirus antes de cifrar archivos.
- 02
Microsoft distribuye una lista de bloqueo de controladores recomendada y el proyecto LOLDrivers cataloga controladores firmados explotados habitualmente en ataques BYOVD.
● Preguntas frecuentes
¿Qué es BYOVD (Bring Your Own Vulnerable Driver)?
Técnica de ataque en la que el adversario carga un controlador de kernel firmado legítimamente pero vulnerable y explota su fallo para obtener acceso a nivel de kernel y desactivar las herramientas de seguridad. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa BYOVD (Bring Your Own Vulnerable Driver)?
Técnica de ataque en la que el adversario carga un controlador de kernel firmado legítimamente pero vulnerable y explota su fallo para obtener acceso a nivel de kernel y desactivar las herramientas de seguridad.
¿Cómo funciona BYOVD (Bring Your Own Vulnerable Driver)?
Bring Your Own Vulnerable Driver (BYOVD) es una técnica de evasión de defensas y escalada de privilegios en la que el atacante despliega en el sistema objetivo un controlador en modo kernel firmado legítimamente pero vulnerable, y abusa de su fallo para ejecutar código o leer y escribir memoria en el kernel. Como el controlador lleva una firma digital válida, se carga incluso en sistemas que aplican la verificación de firmas de controladores, otorgando al adversario privilegios de anillo 0 que los controles en modo usuario no pueden detener. Desde el kernel, los atacantes suelen detener o cegar la protección de endpoints, eliminar protecciones de procesos, instalar rootkits o manipular el registro de eventos. Las defensas incluyen la lista de bloqueo de controladores vulnerables de Microsoft, la Integridad de Código Protegida por Hipervisor (HVCI) y las reglas de reducción de superficie de ataque; el proyecto comunitario LOLDrivers cataloga controladores vulnerables conocidos.
¿Cómo defenderse de BYOVD (Bring Your Own Vulnerable Driver)?
Las defensas contra BYOVD (Bring Your Own Vulnerable Driver) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para BYOVD (Bring Your Own Vulnerable Driver)?
Nombres alternativos comunes: Bring Your Own Vulnerable Driver, abuso de controladores vulnerables.
● Términos relacionados
- malware№ 1059
Rootkit
Malware sigiloso que concede y oculta un acceso privilegiado al sistema operativo o dispositivo, evadiendo la detección de las herramientas habituales.
- defense-ops№ 413
EDR (Detección y Respuesta en Endpoints)
Tecnología de seguridad para endpoints que registra continuamente actividad de procesos, ficheros, registro y red para detectar, investigar y responder a amenazas en los equipos.
- vulnerabilities№ 964
Escalada de privilegios
Clase de vulnerabilidades que permite al atacante obtener permisos superiores a los concedidos inicialmente, por ejemplo pasar de usuario normal a administrador.
- cryptography№ 356
Firma digital
Mecanismo criptográfico de clave pública que demuestra la autenticidad, integridad y no repudio de un mensaje o documento.
- attacks№ 688
Living off the Land
Estilo de ataque que abusa de herramientas y scripts legitimos ya instalados en el sistema victima en lugar de desplegar malware propio.
- defense-ops№ 330
Evasión de Defensas
Táctica MITRE ATT&CK (TA0005) que cubre las técnicas con las que un atacante evita detección, desactiva herramientas de seguridad y oculta su actividad.