В Windows есть малозаметный, но важный механизм защиты — Vulnerable Driver Blocklist. Это список небезопасных драйверов, которым система запрещает запуск. Функция работает автоматически и снижает риск атак через уязвимые компоненты оборудования. Драйвер — это прослойка между устройством (камера, микрофон, клавиатура, видеокарта) и системой. Если драйвер содержит уязвимость, злоумышленник может использовать его для повышения привилегий или обхода защиты. Такие случаи уже были, поэтому в 2022 году Microsoft начала активно поддерживать централизованный список проблемных драйверов...

Изображение: grok Эксперты компании «Информзащита» выявили устойчивый рост числа атак, использующих технику Bring Your Own Vulnerable Driver (BYOVD), которая за последние два года превратилась из редкого инструмента продвинутых группировок в массовый элемент арсенала операторов программ-вымогателей. По оценкам аналитиков компании, в начале 2026 года доля инцидентов с применением уязвимых легитимных драйверов уже достигла 29% всех расследованных атак с использованием ransomware-инструментария, тогда как в 2024 году этот показатель не превышал 10%...

Злоумышленники использовали уязвимый драйвер Windows для отключения средств защиты конечных точек. Эксперты Huntress выявили применение старого драйвера EnCase forensic в рамках техники BYOVD для обхода EDR-систем. Атака началась с компрометации VPN-сертификатов. — csoonline.com В недавнем инциденте злоумышленники использовали легитимный, но уязвимый драйвер ядра Windows для отключения инструментов безопасности конечных точек во время реагирования на инцидент. Согласно отчету Huntress, эта активность была зафиксирована в ходе расследования у клиента в начале 2026 года...

Новая атака BYOVD (Bring Your Own Vulnerable Driver) использует легитимный, подписанный драйвер, содержащий уязвимость. Это позволяет злоумышленникам выполнить код на уровне ядра, обойти Microsoft Defender и установить программу-вымогатель. Чтобы не стать жертвой, соблюдайте меры защиты, приведенные в этом руководстве. Атака BYOVD использует драйвер rwdrv.sys для получения доступа на уровне ядра, а затем устанавливает вредоносный драйвер hlpdrv.sys для отключения защиты Microsoft Defender из реестра...