BYOVD (Bring Your Own Vulnerable Driver)
Qu'est-ce que BYOVD (Bring Your Own Vulnerable Driver) ?
BYOVD (Bring Your Own Vulnerable Driver)Technique d'attaque où l'adversaire charge un pilote noyau légitimement signé mais vulnérable, puis exploite sa faille pour obtenir un accès de niveau noyau et désactiver les outils de sécurité.
Bring Your Own Vulnerable Driver (BYOVD) est une technique d'évasion des défenses et d'élévation de privilèges dans laquelle l'attaquant déploie sur le système cible un pilote en mode noyau légitimement signé mais vulnérable, et abuse de sa faille pour exécuter du code ou lire et écrire la mémoire dans le noyau. Comme le pilote porte une signature numérique valide, il se charge même sur les systèmes appliquant la vérification de signature des pilotes, conférant à l'adversaire des privilèges ring-0 que les contrôles en mode utilisateur ne peuvent arrêter. Depuis le noyau, les attaquants neutralisent ou aveuglent souvent la protection des terminaux, suppriment les protections de processus, installent des rootkits ou altèrent la journalisation. Les défenses incluent la liste de blocage des pilotes vulnérables de Microsoft, l'intégrité du code protégée par hyperviseur (HVCI) et les règles de réduction de la surface d'attaque ; le projet communautaire LOLDrivers recense les pilotes vulnérables connus.
● Exemples
- 01
Le rançongiciel RobbinHood a abusé d'un pilote de carte mère Gigabyte signé et vulnérable pour désactiver l'antivirus avant de chiffrer les fichiers.
- 02
Microsoft diffuse une liste de blocage de pilotes recommandée, et le projet LOLDrivers recense les pilotes signés couramment exploités dans les attaques BYOVD.
● Questions fréquentes
Qu'est-ce que BYOVD (Bring Your Own Vulnerable Driver) ?
Technique d'attaque où l'adversaire charge un pilote noyau légitimement signé mais vulnérable, puis exploite sa faille pour obtenir un accès de niveau noyau et désactiver les outils de sécurité. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie BYOVD (Bring Your Own Vulnerable Driver) ?
Technique d'attaque où l'adversaire charge un pilote noyau légitimement signé mais vulnérable, puis exploite sa faille pour obtenir un accès de niveau noyau et désactiver les outils de sécurité.
Comment fonctionne BYOVD (Bring Your Own Vulnerable Driver) ?
Bring Your Own Vulnerable Driver (BYOVD) est une technique d'évasion des défenses et d'élévation de privilèges dans laquelle l'attaquant déploie sur le système cible un pilote en mode noyau légitimement signé mais vulnérable, et abuse de sa faille pour exécuter du code ou lire et écrire la mémoire dans le noyau. Comme le pilote porte une signature numérique valide, il se charge même sur les systèmes appliquant la vérification de signature des pilotes, conférant à l'adversaire des privilèges ring-0 que les contrôles en mode utilisateur ne peuvent arrêter. Depuis le noyau, les attaquants neutralisent ou aveuglent souvent la protection des terminaux, suppriment les protections de processus, installent des rootkits ou altèrent la journalisation. Les défenses incluent la liste de blocage des pilotes vulnérables de Microsoft, l'intégrité du code protégée par hyperviseur (HVCI) et les règles de réduction de la surface d'attaque ; le projet communautaire LOLDrivers recense les pilotes vulnérables connus.
Comment se défendre contre BYOVD (Bring Your Own Vulnerable Driver) ?
Les défenses contre BYOVD (Bring Your Own Vulnerable Driver) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de BYOVD (Bring Your Own Vulnerable Driver) ?
Noms alternatifs courants : Bring Your Own Vulnerable Driver, abus de pilote vulnérable.
● Termes liés
- malware№ 1059
Rootkit
Logiciel malveillant furtif qui octroie et masque un accès privilégié au système d'exploitation ou au matériel, en échappant aux outils de détection courants.
- defense-ops№ 413
EDR (Endpoint Detection and Response)
Technologie de sécurité d'endpoint qui enregistre en continu l'activité des processus, fichiers, registre et réseau pour détecter, analyser et répondre aux menaces sur les machines.
- vulnerabilities№ 964
Élévation de privilèges
Catégorie de vulnérabilités permettant à un attaquant d'obtenir des droits supérieurs à ceux accordés initialement, par exemple passer d'un utilisateur standard à administrateur.
- cryptography№ 356
Signature numérique
Mécanisme cryptographique à clé publique qui démontre l'authenticité, l'intégrité et la non-répudiation d'un message ou d'un document.
- attacks№ 688
Living off the Land
Style operatoire ou l'attaquant abuse d'outils et de scripts legitimes deja installes sur le systeme cible au lieu de deposer son propre malware.
- defense-ops№ 330
Évasion défensive
Tactique MITRE ATT&CK (TA0005) couvrant les techniques utilisées pour échapper à la détection, neutraliser les outils de sécurité et masquer l'activité de l'attaquant.