Z ostatnich informacji opublikowanych przez zajmującą się cyberbezpieczeństwem firmę CrowdStrike, wynika że zostały wykonane próby wykorzystania sterowników kart sieciowych Intel w ataku BYOVD (Bring Your Own Vulnerable Driver, z angielskiego: „stwórz swój własny podatny sterownik”) aby ominąć produkty EDR takich firm jak Microsoft, Palo Alto czy SentinelOne.
Atak polega na instalacji sterownika, który posiada znaną podatność, co pozwala na uzyskanie najwyższych możliwych uprawnień w systemie oraz uruchomienie złośliwego kodu, co jest możliwe, ponieważ sterowniki posiadają dostęp do jądra systemu.
W przypadku tych ataków została wykorzystana podatność CVE-2015-2291, która posiada status wysokiego ryzyka (punktacja 7.8). Podatność ta znajduje się w sterowniku diagnostycznym kart sieciowych Intel i umożliwia atakującemu uruchomienie kodu z najwyższymi dostępnymi w systemie uprawnieniami.
Mimo że podatność została naprawiona w 2015 roku, jest ona w dalszym ciągu możliwa do wykorzystania przy właściwej modyfikacji podpisu cyfrowego sterownika. W tym przypadku zostały one podpisane wykradzionymi certyfikatami Nvidia oraz Global Software LLC, przez co system Windows ich nie blokuje.
Problem ten firma Microsoft próbowała rozwiązać przez wprowadzenie listy blokowanych sterowników posiadających znane podatności lub nie podpisanych cyfrowo. Jednak dopiero w systemie Windows 11 są one domyślnie blokowane, a aktualizacje wspomnianej listy są bardzo rzadkie (wypuszczane przy dużych aktualizacjach systemów).
