Atacantes estão explorando um driver legítimo da Lenovo para desativar processos de segurança em endpoints, destacando uma ameaça crescente de ataques Bring Your Own Vulnerable Driver (BYOVD). A pesquisa de segurança conduzida por Jehad Abudagga revelou que o driver BootRepair.sys, originalmente associado ao utilitário Lenovo PC Manager, pode ser manipulado para encerrar processos arbitrários no nível do kernel.
Descoberta e escopo
O driver, identificado pelo hash SHA-256 5ab36c116767eaae53a466fbc2dae7cfd608ed77721f65e83312037fbd57c946, é digitalmente assinado pela Lenovo e, no momento da análise, não apresentava detecções no VirusTotal. Isso o torna um candidato atraente para abuso furtivo, pois pode evadir controles de segurança tradicionais que dependem da confiança em assinaturas digitais.
A engenharia reversa do driver revelou múltiplas falhas de segurança que habilitam acesso não privilegiado e capacidades de término de processos. O driver cria um objeto de dispositivo chamado \\Device\\::BootRepair sem aplicar um DACL seguro, permitindo que usuários de baixo privilégio interajam com ele. Além disso, um link simbólico \\DosDevices\\BootRepair expõe o dispositivo para aplicativos no modo de usuário.
Vetor e exploração
Nenhuma verificação de controle de acesso é aplicada ao lidar com solicitações IRP_MJ_CREATE, o que significa que qualquer usuário pode obter um handle para o driver. A análise do manipulador IOCTL mostra que o driver expõe um único código de controle, 0x222014, que aceita um buffer de entrada de 4 bytes. Este buffer contém um ID de processo (PID) que é passado para uma rotina interna que encerra processos.
A função subjacente aproveita a API do kernel do Windows ZwTerminateProcess para matar o PID especificado, efetivamente concedendo a qualquer usuário a capacidade de encerrar processos arbitrários, incluindo serviços protegidos ou críticos para a segurança. Em uma demonstração de prova de conceito, o pesquisador mostrou que até processos protegidos, como o sensor Falcon da CrowdStrike, podem ser encerrados após o driver ser carregado.
Impacto e alcance
As vulnerabilidades habilitam dois cenários de ataque primários. Se o driver já estiver presente em um sistema, um atacante de baixo privilégio pode interagir diretamente com ele para encerrar antivírus ou processos de EDR. Se não estiver presente, os atacantes podem implantar o driver assinado como parte de um ataque BYOVD, carregando-o no kernel para desligar as defesas antes de executar ferramentas de pós-exploração.
Uma vez desabilitados, ferramentas ofensivas como coletores de credenciais podem ser executadas sem interferência. Isso demonstra como o esforço mínimo é necessário para weaponizar a falha uma vez que o driver é acessível.
Medidas de mitigação recomendadas
Esta questão sublinha a ameaça crescente de ataques BYOVD, nos quais adversários exploram drivers confiáveis e assinados para minuar as proteções de endpoint. Devido ao driver ser legítimamente assinado e inicialmente não detectado, ele pode evadir controles de segurança tradicionais que dependem da confiança em assinatura.
As organizações devem considerar:
- Bloquear drivers vulneráveis conhecidos usando a lista de bloqueio de drivers recomendada pela Microsoft.
- Monitorar cargas de driver suspeitas e comportamento no nível do kernel.
- Restringir a capacidade de carregar drivers não assinados ou não aprovados.
- Aproveitar proteções de EDR que detectam o abuso de drivers legítimos.
Conforme os atacantes continuam a abusar de componentes confiáveis, o controle proativo de drivers e a detecção comportamental permanecem críticos para defender endpoints modernos.
O que os CISOs devem fazer imediatamente
Equipes de segurança devem revisar as configurações de carregamento de drivers em seus ambientes e garantir que as políticas de restrição de drivers estejam ativas. A implementação de soluções de detecção de comportamento que identifiquem chamadas de ZwTerminateProcess em contextos suspeitos é essencial para mitigar esse vetor de ataque.