Aanvallers maken gebruik van een zeven jaar oude kwetsbaarheid in een Intel-driver om antivirussoftware op aangevallen systemen te omzeilen, zo stelt securitybedrijf CrowdStrike. Het gaat om een kwetsbaarheid in de Intel ethernet diagnostics driver aangeduid als CVE-2015-2291. Via het beveiligingslek kan een aanvaller code met kernelrechten uitvoeren. Zo is het bijvoorbeeld mogelijk om een malafide kerneldriver te laden.

Via deze driver is het vervolgens mogelijk om aanwezige antivirus- of beveiligingssoftware te omzeilen, zodat bijvoorbeeld ransomware kan worden uitgerold. De techniek wordt Bring Your Own Driver of Bring Your Own Vulnerable Driver genoemd. Drivers draaien met verhoogde rechten op het systeem. Kwetsbaarheden in drivers bieden aanvallers de mogelijkheid om het kernelgeheugen te lezen of schrijven en daarin code uit te voeren.

De afgelopen maanden bleken aanvallers onder andere een anti-cheatdriver van de videogame Genshin Impact en drivers van antivirusbedrijf Avast en moederbordfabrikanten MSI en Gigabyte bij ransomware-aanvallen te hebben gebruikt voor het neutraliseren van antivirussoftware. Nu kan ook de Intel-driver hieraan worden toegevoegd.

Om Windowscomputers tegen kwetsbare drivers te beschermen zijn Windows 10, 11 en Server 2016 en nieuwer voorzien van een blocklist die via Windows Update wordt bijgewerkt. Op de lijst staan kwetsbare drivers die Windows niet zal laden. Het automatisch bijwerken van de lijst is op Windows 10 was echter drie jaar lang niet gebeurd, zo ontdekte beveiligingsonderzoeker Will Dormann eind vorig jaar. Microsoft zou het probleem inmiddels hebben verholpen.