Bring Your Own Vulnerable Driver: l’ascesa inarrestabile degli attacchi BYOVD

Nel panorama in costante evoluzione della cybersecurity, poche tecniche di attacco hanno dimostrato una crescita tanto rapida e preoccupante quanto quella che gli esperti chiamano “Bring Your Own Vulnerable Driver”, o più semplicemente BYOVD. Si tratta di una metodologia di attacco tanto elegante quanto insidiosa, che trasforma i driver legittimi e firmati digitalmente in vere e proprie chiavi di accesso ai sistemi più protetti.

Un Fenomeno in Espansione Vertiginosa

I dati del 2024 raccontano una storia allarmante: dall’inizio dell’anno, abbiamo assistito a un aumento allarmante degli episodi di Bring Your Own Vulnerable Driver (BYOVD) – quadruplicando il tasso di occorrenza. Questa crescita esponenziale non è casuale, ma riflette un cambiamento fondamentale nelle strategie degli attaccanti, che hanno scoperto in questa tecnica un metodo estremamente efficace per aggirare anche le difese più sofisticate.

Quasi uno su quattro attacchi ransomware che abbiamo visto ha utilizzato qualche forma di anti-EDR (evasione o manomissione) o escalation di privilegi alimentata da tecniche BYOVD. Questi numeri non rappresentano solo statistiche aride, ma indicano una trasformazione radicale del panorama delle minacce informatiche, dove i confini tradizionali tra software legittimo e malware si stanno progressivamente sfumando.

L’Anatomia di un Attacco Sofisticato

Per comprendere appieno la portata di questa minaccia, è essenziale analizzare come funziona un attacco BYOVD. La tecnica si basa su un paradosso apparente della sicurezza informatica moderna: gli stessi meccanismi progettati per proteggere i sistemi – come la firma digitale dei driver – diventano strumenti nelle mani degli attaccanti.

Il processo inizia con l’identificazione di driver legittimi che contengono vulnerabilità. Questi driver, prodotti da aziende rispettabili e firmati con certificati validi, passano inosservati attraverso i controlli di sicurezza tradizionali. Una volta installati sul sistema target, gli attaccanti sfruttano le vulnerabilità contenute per ottenere accesso al kernel – il cuore pulsante del sistema operativo.

I driver operano al ring 0, il livello di privilegio più elevato del sistema operativo. Questo garantisce loro accesso diretto alla memoria critica, alla CPU, alle operazioni I/O e ad altre risorse fondamentali. È proprio questo accesso privilegiato che rende gli attacchi BYOVD così devastanti: una volta ottenuto il controllo a livello kernel, gli attaccanti possono disabilitare qualsiasi sistema di sicurezza e ottenere il controllo completo del sistema compromesso.

Il Paradosso della Fiducia Digitale

Uno degli aspetti più insidiosi degli attacchi BYOVD risiede nel fatto che sfruttano la fiducia intrinseca che i sistemi di sicurezza ripongono nei componenti firmati digitalmente. Poiché questi driver sono firmati e affidabili, le soluzioni di sicurezza spesso li escludono da analisi e monitoraggio più approfonditi. Questo significa che gli attaccanti possono letteralmente nascondersi dietro il mantello della legittimità, utilizzando componenti che sono stati progettati per essere trusted.

Il fenomeno ha raggiunto dimensioni tali che i ricercatori di cybersecurity hanno scoperto una nuova campagna malevola che sfrutta una tecnica chiamata Bring Your Own Vulnerable Driver (BYOVD) per disarmare le protezioni di sicurezza e ottenere infine l’accesso al sistema infetto. Un esempio particolarmente significativo è rappresentato da un malware che utilizza un driver anti-rootkit legittimo di Avast per condurre le proprie operazioni maligne – un’ironia che evidenzia perfettamente il paradosso della fiducia digitale.

L’Evoluzione da Elite a Mainstream

Quello che rende ancora più preoccupante il fenomeno BYOVD è la sua democratizzazione. Inizialmente, la tecnica BYOVD era utilizzata da gruppi APT di alto livello come Turla e il Gruppo Equation. Tuttavia, con la diminuzione del costo degli attacchi, anche altri attori di minacce hanno iniziato a sfruttarla per raggiungere i loro obiettivi.

Questa transizione da strumento esclusivo di gruppi di stato-nazione a metodologia accessibile anche ai cybercriminali comuni ha avuto conseguenze drammatiche. Gli attaccanti possono sviluppare i propri strumenti o incorporare strumenti open-source, il che ha contribuito ad abbassare il costo degli attacchi BYOVD. L’emergere di tool commerciali come “Terminator”, venduto per 3.000 dollari e capace di terminare ventitré diverse soluzioni antivirus, EDR e XDR, illustra perfettamente questa commercializzazione del crimine informatico.

Il Database delle Vulnerabilità: Un’Arma a Doppio Taglio

Un elemento cruciale nell’ecosistema BYOVD è rappresentato dal progetto LOLDrivers (Living Off The Land Drivers), che ha catalogato oltre 700 driver legittimi utilizzabili dagli attaccanti. Sebbene questo progetto sia nato con l’obiettivo di aiutare i difensori a identificare e bloccare i driver vulnerabili, ha involontariamente creato un arsenale facilmente accessibile per i cybercriminali.

I progetti come LOLDrivers hanno aumentato significativamente la popolarità dei driver vulnerabili. Anche se lo scopo di tali progetti è strettamente focalizzato su misure difensive, l’esistenza di un enorme database regolarmente aggiornato di driver vulnerabili apre anche lo spazio per operazioni offensive. Questo fenomeno illustra perfettamente una delle sfide fondamentali della cybersecurity moderna: il bilanciamento tra trasparenza e sicurezza operativa.

Le Lacune delle Difese Tradizionali

L’efficacia degli attacchi BYOVD deriva in gran parte dalle limitazioni delle soluzioni di sicurezza tradizionali. Anche i meccanismi di protezione più avanzati, come l’Hypervisor-Protected Code Integrity (HVCI) di Microsoft, mostrano delle debolezze significative quando si tratta di contrastare questa minaccia.

Una protezione promettente disponibile dall’aggiornamento di Windows 11 del 2022 è la blocklist dei driver vulnerabili di Microsoft. I driver vulnerabili vengono bloccati di default quando si utilizza l’Hypervisor-Protected Code Integrity (HVCI). Tuttavia, questo approccio è efficace solo se il driver vulnerabile è noto in anticipo e fa parte della blocklist.

Il problema fondamentale risiede nella natura reattiva di questo approccio: la blocklist viene tipicamente aggiornata 1-2 volte all’anno, creando finestre di opportunità che gli attaccanti possono sfruttare per mesi prima che le loro tecniche vengano neutralizzate.

Bring Your Own Vulnerable Driver (BYOVD): Il Contesto delle Vulnerabilità del 2024

Per comprendere pienamente l’impatto degli attacchi BYOVD, è fondamentale considerarli nel contesto più ampio del panorama delle vulnerabilità del 2024. Il totale delle vulnerabilità è aumentato a 1.360 nel 2024, un record dall’inizio del report. La categoria Escalation di Privilegi (EoP) ha rappresentato un massiccio 40% (554) del totale delle vulnerabilità dell’anno scorso.

Questo dato è particolarmente significativo perché per il quinto anno consecutivo, le vulnerabilità EoP hanno guidato tutte le categorie di vulnerabilità, costituendo il 40% delle divulgazioni di Microsoft nel 2024. È un promemoria che agli attaccanti spesso risulta più facile accedere che hackerare, specialmente quando possono sfruttare account legittimi ed escalare l’accesso.

Case Study: L’Attacco Avast

Un esempio particolarmente illuminante dell’evoluzione delle tecniche BYOVD emerso di recente coinvolge un malware che prende una strada più sinistra: lascia cadere un driver anti-rootkit legittimo di Avast (aswArPot.sys) e lo manipola per portare avanti la sua agenda distruttiva. Questo caso studio rivela come gli attaccanti abbiano imparato a sfruttare non solo driver generici, ma anche componenti di sicurezza specificamente progettati per proteggere i sistemi.

Il malware sfrutta l’accesso profondo fornito dal driver per terminare i processi di sicurezza, disabilitare il software protettivo e prendere il controllo del sistema infetto. L’ironia di utilizzare un driver anti-rootkit per installare effettivamente capacità simili a rootkit dimostra il livello di sofisticazione raggiunto dagli attaccanti moderni.

L’Impatto sui Gruppi Ransomware

I gruppi ransomware hanno rapidamente adottato le tecniche BYOVD come parte standard del loro arsenale. Il gruppo ransomware noto come Kasseika è diventato l’ultimo a sfruttare l’attacco Bring Your Own Vulnerable Driver (BYOVD) per disarmare i processi relativi alla sicurezza sugli host Windows compromessi, unendosi ai gruppi come Akira, AvosLocker, BlackByte e RobbinHood.

Questa adozione diffusa tra i gruppi ransomware è particolarmente preoccupante perché la tattica consente agli “attori delle minacce di terminare processi e servizi antivirus per il dispiegamento di ransomware”. In altre parole, gli attacchi BYOVD sono diventati un moltiplicatore di forza che amplifica l’efficacia di altre forme di malware.

Le Statistiche Allarmanti del 2024

I dati del 2024 dipingono un quadro sempre più preoccupante. Entro la metà del 2024, sono stati riportati 22.254 CVE (Common Vulnerabilities and Exposures), riflettendo un aumento del 30% rispetto al 2023 e un incremento del 56% rispetto al 2022. Inoltre, entro la fine del 2024, una media di 115 CVE venivano divulgati quotidianamente, testimonianza della crescente complessità delle minacce informatiche moderne.

Particolarmente rilevante per il contesto BYOVD è il fatto che nel 2024, il 14% delle violazioni è iniziato con lo sfruttamento di vulnerabilità come metodo di accesso iniziale – quasi tre volte superiore rispetto all’anno precedente.

Le Sfide per i Difensori

La rapidità con cui evolve il panorama BYOVD presenta sfide significative per i professionisti della sicurezza informatica. Una volta che un driver vulnerabile viene divulgato pubblicamente, è molto probabile che venga aggiunto rapidamente al database LOLDrivers. Anche se Microsoft decide di includere tale driver nella sua blocklist, gli attaccanti hanno una finestra di almeno sei mesi per sfruttarlo prima che la blocklist venga aggiornata.

Questo ritardo sistematico crea un vantaggio strutturale per gli attaccanti, che possono operare con relativa impunità durante questi periodi di grazia. La situazione è ulteriormente complicata dal fatto che non tutti i driver identificati come vulnerabili nel progetto LOLDrivers sono inclusi nella blocklist dei driver vulnerabili di Microsoft.

L’Impatto sui Sistemi Sanitari e Infrastrutture Critiche

Gli attacchi BYOVD non si limitano agli ambienti aziendali tradizionali, ma hanno iniziato a prendere di mira settori critici come la sanità. Le organizzazioni sanitarie sono state tra i principali bersagli della criminalità informatica nel 2024, e l’utilizzo di tecniche BYOVD in questi contesti presenta rischi particolarmente elevati data la natura critica dei servizi forniti.
Questo trend si inserisce in un contesto più ampio dove i costi globali dei danni da criminalità informatica dovrebbero crescere, raggiungendo 10,5 trilioni di dollari USA annuali quest’anno, secondo Cybersecurity Ventures.

Le Previsioni per il 2025

Guardando al futuro immediato, gli esperti prevedono che la minaccia BYOVD continuerà a evolversi e intensificarsi. Guardando al 2025, si prevede che il ransomware evolverà sfruttando vulnerabilità non convenzionali, come dimostrato dall’uso da parte del gruppo Akira di una webcam per aggirare i sistemi di rilevamento e risposta degli endpoint e infiltrarsi nelle reti interne.

Questa evoluzione verso lo sfruttamento di vulnerabilità “non convenzionali” suggerisce che gli attaccanti stiano espandendo la definizione stessa di cosa costituisce un “driver vulnerabile”, potenzialmente includendo componenti che tradizionalmente non erano considerati parte della superficie di attacco.

L’Importanza della Ricerca Proattiva

Un aspetto cruciale emerso dalle ricerche più recenti è l’identificazione proattiva di driver vulnerabili prima che vengano sfruttati in natura. La Carbon Black Threat Analysis Unit (TAU) ha scoperto 34 driver vulnerabili unici (237 hash di file) che accettano l’accesso al firmware. Sei consentono l’accesso alla memoria del kernel. Tutti danno il controllo completo dei dispositivi agli utenti non amministratori.

Questa ricerca proattiva è fondamentale perché sfruttando i driver vulnerabili, un attaccante senza privilegi di sistema può cancellare/alterare il firmware e/o escalare i privilegi. L’identificazione precoce di queste vulnerabilità può potenzialmente prevenire la loro inclusione nel database LOLDrivers e la loro successiva weaponizzazione.

Le Raccomandazioni Strategiche

Affrontare efficacemente la minaccia BYOVD richiede un approccio multi-dimensionale che va oltre le soluzioni tecniche tradizionali. Gli esperti raccomandano l’implementazione di strategie di difesa a più livelli che includano:

Gestione Proattiva delle Vulnerabilità: Le organizzazioni devono implementare processi per identificare e catalogare tutti i driver presenti nei loro ambienti, mantenendo un inventario aggiornato che permetta di rispondere rapidamente alle nuove minacce identificate.

Monitoraggio Comportamentale Avanzato: Poiché i driver BYOVD sono per definizione legittimi e firmati, è essenziale implementare sistemi di monitoraggio che si concentrino sui comportamenti anomali piuttosto che esclusivamente sui signature malware tradizionali.

Principio del Privilegio Minimo: L’implementazione rigorosa del principio del privilegio minimo può limitare significativamente l’impatto degli attacchi BYOVD, anche quando questi riescono a ottenere accesso iniziale al sistema.

Il Ruolo dell’Intelligenza Artificiale

Un elemento emergente nella lotta contro gli attacchi BYOVD è l’uso dell’intelligenza artificiale sia per l’attacco che per la difesa. Nel 2024, l’ingegneria sociale, le intrusioni cloud e le tecniche senza malware sono aumentate, e gli attori stato-nazione hanno intensificato lo spionaggio informatico e aggiunto l’IA al loro arsenale.

Questo sviluppo suggerisce che il futuro della cybersecurity vedrà un’escalation tecnologica dove sia gli attaccanti che i difensori utilizzeranno l’intelligenza artificiale per raggiungere i propri obiettivi. Nel contesto BYOVD, questo potrebbe tradursi in algoritmi capaci di identificare automaticamente driver vulnerabili o, dal lato difensivo, sistemi IA capaci di rilevare pattern di comportamento sospetti anche in driver apparentemente legittimi.

Verso un Nuovo Paradigma di Sicurezza

Gli attacchi Bring Your Own Vulnerable Driver rappresentano più di una semplice tecnica di attacco: simboleggiano un cambiamento fondamentale nel panorama della cybersecurity moderna. Stiamo assistendo alla fine dell’era in cui la firma digitale e la reputazione del vendor erano sufficienti a garantire la sicurezza di un componente software.

Il quadruplicarsi degli attacchi BYOVD nel 2024 non è solo una statistica allarmante, ma il segnale di una trasformazione profonda nelle dinamiche tra attaccanti e difensori. Gli attaccanti hanno dimostrato una capacità straordinaria di trasformare i meccanismi di sicurezza contro se stessi, utilizzando la fiducia del sistema come vettore di compromissione.

Per affrontare efficacemente questa sfida, la comunità della cybersecurity deve abbracciare un nuovo paradigma basato sulla “fiducia zero” anche verso i componenti apparentemente più legittimi. Questo significa implementare sistemi di monitoraggio che assumano che qualsiasi driver, indipendentemente dalla sua provenienza e dalla sua reputazione, possa potenzialmente essere compromesso o sfruttato.

Il futuro della difesa contro gli attacchi BYOVD risiederà nella combinazione di tecnologie avanzate di rilevamento comportamentale, gestione proattiva delle vulnerabilità, e soprattutto, in un cambiamento culturale che riconosca che in un mondo interconnesso, la sicurezza non può più basarsi sulla fiducia implicita, ma deve essere costantemente verificata e rivalidata.

Mentre ci dirigiamo verso il 2025, una cosa è certa: gli attacchi BYOVD continueranno a evolversi e proliferare. Solo attraverso una comprensione approfondita di questa minaccia e l’implementazione di strategie difensive innovative, le organizzazioni potranno sperare di mantenere un passo di vantaggio su attaccanti sempre più sofisticati e determinati.

Bibliografia:

• Huntress. (2024). Top 3 Cybersecurity Threats of 2024 (So Far). Retrieved from https://www.huntress.com/blog/top-3-cybersecurity-threats-of-2024-so-far-what-you-need-to-know
• The Hacker News. (2024). Researchers Uncover Malware Using BYOVD to Bypass Antivirus Protections. Retrieved from https://thehackernews.com/2024/11/researchers-uncover-malware-using-byovd.html
• Sangfor Technologies. (2023). What is BYOVD? – BYOVD Attacks in 2023. Retrieved from https://www.sangfor.com/farsight-labs-threat-intelligence/cybersecurity/what-is-byovd-attacks-2023
• Cymulate. (2023). What are BYOVD Attacks? Retrieved from https://cymulate.com/blog/defending-against-bring-your-own-vulnerable-driver-byovd-attacks/
• The Hacker News. (2024). Kasseika Ransomware Using BYOVD Trick to Disarm Security Pre-Encryption. Retrieved from https://thehackernews.com/2024/01/kasseika-ransomware-using-byovd-trick.html
• Vinopal, J. (2024). Breaking Boundaries: Investigating Vulnerable Drivers and Mitigating Risks. Check Point Research. Retrieved from https://research.checkpoint.com/2024/breaking-boundaries-investigating-vulnerable-drivers-and-mitigating-risks/
• VMware Security. (2023). Hunting Vulnerable Kernel Drivers. Retrieved from https://blogs.vmware.com/security/2023/10/hunting-vulnerable-kernel-drivers.html
• CrowdStrike. (2025). 2025 Global Threat Report | Latest Cybersecurity Trends & Insights. Retrieved from https://www.crowdstrike.com/en-us/global-threat-report/
• SOCRadar. (2025). Cybersecurity in 2025: A Look Back at 2024’s Biggest Cyber Attacks & Lessons for the Future. Retrieved from https://socradar.io/cybersecurity-in-2025-2024s-biggest-cyber-attacks-lessons-for-future/
• Kaspersky. (2025). Kaspersky ransomware report for 2024. Securelist. Retrieved from https://securelist.com/state-of-ransomware-in-2025/116475/
• BeyondTrust. (2025). 2025 Microsoft Vulnerabilities Report | 12th Edition. Retrieved from https://www.beyondtrust.com/resources/whitepapers/microsoft-vulnerability-report
• The Hacker News. (2025). Dissecting the 2025 Microsoft Vulnerabilities Report: Key Trends and Insights. Retrieved from https://thehackernews.com/expert-insights/2025/05/dissecting-2025-microsoft.html
• BeyondTrust. (2025). Microsoft Security in 2025: Top Vulnerability Trends. Retrieved from https://www.beyondtrust.com/blog/entry/microsoft-vulnerabilities-report
• Help Net Security. (2025). Microsoft vulnerabilities: What’s improved, what’s at risk. Retrieved from https://www.helpnetsecurity.com/2025/04/17/beyondtrust-microsoft-vulnerabilities-report-2024/
• Insurance Journal. (2025). Microsoft Security Vulnerabilities Set Record High in 2024: BeyondTrust. Retrieved from https://www.insurancejournal.com/news/national/2025/04/21/820580.htm
• Microsoft. (2023). Microsoft Digital Defense Report 2023 (MDDR). Retrieved from https://www.microsoft.com/en-us/security/security-insider/microsoft-digital-defense-report-2023
• Indusface. (2025). 181 Cybersecurity Statistics for 2025. Retrieved from https://www.indusface.com/blog/key-cybersecurity-statistics/
• Dark Reading. (2025). Vulnerability Exploitation Is Shifting in 2024-25. Retrieved from https://www.darkreading.com/vulnerabilities-threats/vulnerability-exploitation-shifting-2024-25
• LOLDrivers Project. Living Off The Land Drivers. Retrieved from https://www.loldrivers.io/
• KonBriefing. (2025). Cyber attacks worldwide: News today & 2025. Retrieved from https://konbriefing.com/en-topics/cyber-attacks.html