BYOVD: уязвимые драйверы эксплуатируемы без аппаратуры

Коллеги, хочу обратить внимание на статью в сфере кибербезопасности. Автор показывает, как многие Windows‑драйверы остаются достижимыми из user‑mode без соответствующего оборудования.
- Суть: уязвимости в kernel можно сделать эксплуатируемыми, управляя инициализацией (AddDevice, device objects).
- Практика: создание программных PnP‑устройств (devcon/SetupAPI, SoftwareDevice), принудительная привязка драйвера и перестановка фильтров.
- Ограничения: аппаратные probe‑проверки чаще требуют KM‑компонентов или гипервизора.
Почему это важно: увеличивает набор BYOVD‑кандидатов и требует мониторинга «фейковых» устройств и изменений Upper/LowerFilters.
Какие меры Вы считаете приоритетными для обнаружения и предотвращения таких сценариев?
#кибербезопасность #драйверы #BYOVD #информационнаябезопасность


Последние комментарии
Комментариев пока нет.