Pesquisadores identificaram 34 drivers únicos do Modelo de Driver do Windows (WDM) e Frameworks de Driver do Windows (WDF) que podem ser explorados por atores de ameaças sem privilégios para obter controle total dos dispositivos e executar código arbitrário nos sistemas subjacentes.
Takahiro Haruyama, pesquisador sênior de ameaças na VMware Carbon Black, destacou que a exploração desses drivers pode permitir a um atacante sem privilégios apagar ou alterar o firmware e/ou elevar privilégios no sistema operacional.
Dos 34 drivers, seis permitem acesso à memória do kernel que pode ser abusado para elevar privilégios e derrotar soluções de segurança.
Doze dos drivers podem ser explorados para subverter mecanismos de segurança como a randomização do layout do espaço de endereço do kernel (KASLR).
Sete dos drivers, incluindo o stdcdrv64.sys da Intel, podem ser utilizados para apagar o firmware na memória flash SPI, tornando o sistema inoperante. A Intel já emitiu uma correção para o problema.
Essa técnica tem sido empregada por vários adversários, incluindo o Grupo Lazarus, vinculado à Coreia do Norte, como uma forma de obter privilégios elevados e desativar softwares de segurança em endpoints comprometidos para evitar detecção.