L’attacco sofisticato con driver vulnerabili - www.giustiziagiusta.info giustiziagiusta.info
Negli ultimi mesi, Windows 10 e 11 sono stati al centro di attacchi informatici che compromettono la sicurezza dei sistemi.
In particolare, è emerso un pericoloso modus operandi utilizzato dal ransomware Akira, che ha evidenziato una vulnerabilità insidiosa: l’impiego di driver legittimi ma vulnerabili per disattivare le protezioni integrate di Microsoft, come Microsoft Defender.
A partire da luglio 2025, i ricercatori di GuidePoint Security hanno individuato un trend preoccupante nel panorama della cybersecurity. Il gruppo criminale dietro il ransomware Akira ha adottato una tecnica chiamata Bring Your Own Vulnerable Driver (BYOVD), che consiste nell’abusare di driver firmati digitalmente ma affetti da debolezze note per aggirare i sistemi di difesa di Windows.
Questa modalità di attacco si basa sull’utilizzo di componenti software apparentemente legittimi e autorizzati, ma che presentano falle sfruttabili per ottenere privilegi elevati sul sistema. Una volta attivato l’accesso a livello kernel, gli aggressori possono disabilitare Microsoft Defender e altre soluzioni di sicurezza, rendendo il sistema vulnerabile all’installazione e all’esecuzione del ransomware.
Driver di sistema sotto la lente: rwdrv.sys e hlpdrv.sys
Tra i driver più frequentemente coinvolti in questo tipo di attacchi figurano rwdrv.sys e hlpdrv.sys. Il primo, rwdrv.sys, è un componente ufficiale del software ThrottleStop, un noto strumento utilizzato per il tuning delle CPU Intel e per gestire il throttling termico, cioè il controllo della temperatura del processore per evitare surriscaldamenti.
Il driver, pur essendo firmato e autorizzato, può essere registrato dagli attaccanti come servizio di sistema con privilegi elevati, consentendo così di bypassare le restrizioni di sicurezza imposte da Windows e da Microsoft Defender. Questo meccanismo permette al malware di operare in modalità kernel, una posizione privilegiata che consente di manipolare direttamente il sistema operativo e di disabilitare le sue difese.
Parallelamente, il driver hlpdrv.sys è stato anch’esso osservato in vari attacchi riconducibili al ransomware Akira, confermando la strategia degli aggressori di sfruttare driver legittimi per coprire le proprie tracce e rendere più efficaci le infezioni.
Finora, le difese di Microsoft Defender hanno rappresentato un baluardo fondamentale nella protezione dei sistemi Windows da ransomware e malware in generale. Tuttavia, l’emergere della tecnica BYOVD ha messo in evidenza come la firma digitale di un driver non sia più una garanzia assoluta di sicurezza.
Gli esperti sottolineano che la firma digitale attesta solo l’autenticità del produttore e l’integrità del file, ma non l’assenza di vulnerabilità al suo interno. Questo significa che un driver legittimo ma con falle può essere utilizzato come un “cavallo di Troia” per eludere i controlli di sicurezza.
Un altro aspetto critico riguarda la gestione della disattivazione di Microsoft Defender, che può essere forzata prima dell’avvio del sistema operativo, ad esempio tramite strumenti di recupero o supporti di boot, soprattutto in presenza di protezioni come BitLocker, che richiede la chiave di ripristino. Questo scenario rende ancora più complessa la difesa contro attacchi mirati e ben pianificati.
Gli analisti di GuidePoint Security consigliano quindi di adottare strategie di sicurezza multilivello, che includano il monitoraggio continuo dei driver installati, l’aggiornamento costante del software di sistema e l’uso di soluzioni avanzate di rilevamento comportamentale, capaci di identificare attività sospette anche quando sfruttano componenti firmati.
Verso una maggiore consapevolezza e prevenzione
L’attacco del ransomware Akira mediante l’abuso di driver vulnerabili rappresenta un campanello d’allarme per tutti gli utenti e le aziende che utilizzano Windows 10 e 11. La sicurezza informatica deve evolvere per far fronte a minacce sempre più complesse, che non si limitano a malware tradizionali ma coinvolgono anche l’ecosistema di sistema operativo e driver ufficiali.
Per questo motivo, è essenziale non sottovalutare l’importanza di una corretta gestione delle patch di sicurezza e di un’attenta verifica dei componenti installati, soprattutto quelli che operano a livello kernel. Le organizzazioni di cybersecurity stanno inoltre sviluppando strumenti specifici per rilevare e bloccare l’uso improprio di driver legittimi, con l’obiettivo di ridurre il rischio di attacchi come quelli portati avanti da Akira.
