BYOVD(脆弱なドライバーの持ち込み).

攻撃者が正規に署名された脆弱なカーネルドライバーを読み込み、その欠陥を悪用してカーネルレベルのアクセスを獲得し、セキュリティ製品を無効化する攻撃手法。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。

攻撃者が正規に署名された脆弱なカーネルドライバーを読み込み、その欠陥を悪用してカーネルレベルのアクセスを獲得し、セキュリティ製品を無効化する攻撃手法。

Bring Your Own Vulnerable Driver(BYOVD)は、防御回避と権限昇格の手法で、攻撃者が正規にコード署名されているが脆弱なカーネルモードドライバーを標的システムへ展開し、その欠陥を悪用してカーネル内でコードを実行したりメモリの読み書きを行ったりするものです。ドライバーには有効な電子署名があるため、ドライバー署名強制を有効にしたシステムでも読み込まれ、ユーザーモードの防御では止められない ring-0 権限を攻撃者に与えます。カーネルに到達すると、攻撃者はエンドポイント保護を停止または無力化し、プロセス保護を解除し、ルートキットを導入し、ログを改ざんすることがよくあります。対策にはマイクロソフトの脆弱なドライバーのブロックリスト、ハイパーバイザー保護コード整合性(HVCI)、攻撃面縮小ルールなどがあり、コミュニティの LOLDrivers プロジェクトは既知の脆弱なドライバーを収録しています。

BYOVD(脆弱なドライバーの持ち込み) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: Bring Your Own Vulnerable Driver, 脆弱なドライバーの悪用。