Exploiting Windows Drivers Without Hardware: The BYOVD Perspective
Discover how attackers can exploit Windows drivers without hardware, turning kernel-mode driver bugs into powerful tools to bypass security controls. The Atos Threat Research Center reveals a game-changing method to manipulate reachability from userland on Windows 11 23H2.
#Byovd #Windows #KernelDrivers #VulnerabilityExploitation #Windows11
📢 CVE-2024-12802 : exploitation active de SonicWall SSL VPN malgré le patch firmware
📝 ## 🔍 Contexte
Publié le 19 mai 2026 par ReliaQuest Threat Research (auteurs : Alexander Capraro et Tristan Luikey),...
📖 cyberveille : https://cyberveille.ch/posts/2026-05-21-cve-2024-12802-exploitation-active-de-sonicwall-ssl-vpn-malgre-le-patch-firmware/
🌐 source : https://reliaquest.com/blog/threat-spotlight-vpn-exploitation-when-patched-doesnt-mean-protected/
#Akira #BYOVD #Cyberveille
🔍 Contexte Publié le 19 mai 2026 par ReliaQuest Threat Research (auteurs : Alexander Capraro et Tristan Luikey), ce rapport documente des intrusions observées entre février et mars 2026 impliquant l’exploitation de CVE-2024-12802, une vulnérabilité de contournement d’authentification dans les appliances SonicWall SSL VPN. 🎯 Vulnérabilité et mécanisme d’exploitation CVE-2024-12802 (CVSS vendeur : 6.5 / CISA : 9.1 Critique) affecte la manière dont le MFA est appliqué selon le format de login utilisé :
📢 LOLDrivers : ajout de nouveaux drivers vulnérables IoBitUnlocker, Zemana et TfSysMon utilisés en BYOVD
📝 ## 🔍 Contexte
Le 13 mars 2026, une pull request (#221) a été fusionnée dans le dépôt public **LOLDrivers** (magicsword-io),...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-05-loldrivers-ajout-de-nouveaux-drivers-vulnerables-iobitunlocker-zemana-et-tfsysmon-utilises-en-byovd/
🌐 source : https://github.com/magicsword-io/LOLDrivers/pull/221
#BYOVD #IOC #Cyberveille
🔍 Contexte Le 13 mars 2026, une pull request (#221) a été fusionnée dans le dépôt public LOLDrivers (magicsword-io), un projet de référencement de drivers légitimes mais vulnérables exploitables dans des attaques BYOVD (Bring Your Own Vulnerable Driver). La contribution a été initiée par le chercheur mnznndr97 le 28 mars 2025 et approuvée après plusieurs mois de revue. 🧩 Contenu de la contribution Trois nouveaux drivers vulnérables ont été documentés et ajoutés au référentiel :
📢 Rétro-ingénierie de gdrv3.sys (Gigabyte) : 13 primitives d'accès matériel exploitables en BYOVD
📝 ## 🔍 Contexte
Article de recherche publié le 02 mai 2026 sur le blog personnel d'Aaron Haymore (zonifer.dev).
📖 cyberveille : https://cyberveille.ch/posts/2026-04-05-retro-ingenierie-de-gdrv3-sys-gigabyte-13-primitives-d-acces-materiel-exploitables-en-byovd/
🌐 source : https://zonifer.dev/posts/byovd-kernel-driver-hardware-primitives.html
#BYOVD #Gigabyte #Cyberveille
🔍 Contexte Article de recherche publié le 02 mai 2026 sur le blog personnel d’Aaron Haymore (zonifer.dev). L’auteur présente une analyse technique complète du pilote noyau gdrv3.sys livré avec Gigabyte APP Center, dans le cadre d’une étude sur les attaques BYOVD (Bring Your Own Vulnerable Driver). 🎯 Objet de l’analyse Le pilote gdrv3.sys (MD5 : 2791bbd810b9bc086bb1631e0f16c821) est un pilote WDF signé par Microsoft, déposé dans C:\Windows\System32\drivers lors de l’installation de Gigabyte APP Center. L’analyse de sa table d’imports dans Ghidra révèle des fonctions dangereuses : MmMapIoSpace, MmGetPhysicalAddress, MmAllocateContiguousMemory, MmMapLockedPagesSpecifyCache, RDMSR/WRMSR.
📰 Qilin Ransomware Blinds Defenses with Advanced EDR Killer, Abusing Vulnerable Drivers
🔥 Qilin ransomware deploys a sophisticated EDR killer, using a vulnerable signed driver (BYOVD) to disable over 300 security products at the kernel level. A major escalation in defense evasion tactics. #Ransomware #Qilin #EDR #CyberSecurity #BYOVD
📢 Driver vulnérable ASTRA64.sys (EnTech Taiwan) : primitives kernel exposées sans validation
📝 ## 🔍 Contexte
Une issue a été ouverte le 8 avril 2026 sur le dépôt GitHub **LOLDrivers** (magicsword-io) par le chercheur `@weezerOSINT`,...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-12-driver-vulnerable-astra64-sys-entech-taiwan-primitives-kernel-exposees-sans-validation/
🌐 source : https://github.com/magicsword-io/LOLDrivers/issues/294
#ASTRA64_sys #BYOVD #Cyberveille
🔍 Contexte Une issue a été ouverte le 8 avril 2026 sur le dépôt GitHub LOLDrivers (magicsword-io) par le chercheur @weezerOSINT, signalant la soumission d’un driver vulnérable : ASTRA64.sys, produit par EnTech Taiwan / Sysinfo Lab. 🛠️ Description technique du driver Nom de fichier : ASTRA64.sys Architecture : x64 (variante 32-bit également existante) Signé : Oui, par EnTech Taiwan (certificat GlobalSign 2006) SHA256 : 4a8b6b462c4271af4a32cf8705fa64913bfcdaefb6cf02d1e722c611d428cb16 Device exposé : \Device\Astra32Device{n} Chargement : Fonctionne sur tout système Windows x64 sans restriction ⚠️ Vulnérabilités identifiées Le driver expose 31 IOCTLs à l’espace utilisateur sans aucune validation de paramètres et sans restriction DACL (IoCreateDevice simple) :
📢 Qilin et Warlock ransomware exploitent la technique BYOVD pour neutraliser les outils de sécurité
📝 ## 🗓️ Contexte
Publié le 6 avril 2026 par The Hacker News, cet article s'appuie sur des recherches de **Cisco T...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-09-qilin-et-warlock-ransomware-exploitent-la-technique-byovd-pour-neutraliser-les-outils-de-securite/
🌐 source : https://thehackernews.com/2026/04/qilin-and-warlock-ransomware-use.html
#BYOVD #IOC #Cyberveille
🗓️ Contexte Publié le 6 avril 2026 par The Hacker News, cet article s’appuie sur des recherches de Cisco Talos et Trend Micro portant sur les opérations ransomware Qilin et Warlock. 🎯 Technique utilisée : BYOVD Les deux groupes ont été observés en train d’utiliser la technique Bring Your Own Vulnerable Driver (BYOVD), qui consiste à déployer un pilote légitime mais vulnérable afin de contourner ou neutraliser les outils de sécurité actifs sur les hôtes compromis.
📢 Analyse technique de la chaîne d'infection EDR killer de Qilin ransomware via msimg32.dll
📝 ## 🔍 Contexte
Publié le 2 avril 2026 par Takahiro Takeda sur le blog Cisco Talos Intelligence, cet article constitue une analyse tech...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-05-analyse-technique-de-la-chaine-d-infection-edr-killer-de-qilin-ransomware-via-msimg32-dll/
🌐 source : https://blog.talosintelligence.com/qilin-edr-killer/
#BYOVD #DLL_Side_Loading #Cyberveille
📢 KslDump : extraction de credentials LSASS via un driver Microsoft Defender vulnérable préinstallé
📝 ## 🔍 Contexte
Publié le 22 mars 2026 sur GitHub par l'utilisateur andreisss, cet article présente **KslDump**, un outil de recherche en sécurité off...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-22-ksldump-extraction-de-credentials-lsass-via-un-driver-microsoft-defender-vulnerable-preinstalle/
🌐 source : https://github.com/andreisss/KslDump
#BYOVD #IOC #Cyberveille
🔍 Contexte Publié le 22 mars 2026 sur GitHub par l’utilisateur andreisss, cet article présente KslDump, un outil de recherche en sécurité offensif exploitant un driver kernel Microsoft Defender (KslD.sys) pour extraire des credentials depuis LSASS protégé par PPL (Protected Process Light), sans recourir à aucun code ou driver tiers. ⚙️ Mécanisme de la vulnérabilité Le driver KslD.sys est livré avec Microsoft Defender, signé Microsoft, et expose un objet device \\.\KslD accessible depuis l’espace utilisateur. Il accepte l’IOCTL 0x222044 avec plusieurs sous-commandes critiques :
DriverShield is live — a free platform for analyzing Windows kernel drivers (.sys) for vulnerabilities, rootkit behavior, and BYOVD attack patterns.
200+ drivers already analyzed through our 14-stage inspection pipeline.
No login required. Free REST API available.
#infosec #cybersecurity #BYOVD #threathunting #malware #kernel #Windows #dfir #sigma #threatintel
Analyst207
CyberVeille.ch
CyberNetsecIO
DriverShield