B
今週中
研究者が、CrowdStrike FalconなどのEDRを無効化できるBYOVD(Bring Your Own Vulnerable Driver)攻撃手法を…
📌 一言でいうと
研究者が、CrowdStrike FalconなどのEDRを無効化できるBYOVD(Bring Your Own Vulnerable Driver)攻撃手法を発見しました。攻撃者は正当な署名を持つ脆弱なカーネルドライバを悪用し、IOCTLインターフェースを通じて特権レベルでセキュリティプロセスを強制終了させます。この手法はユーザーモードの保護を完全にバイパスするため、検知が非常に困難であり、ランサムウェアなどの後続攻撃への道を開く危険性があります。
🏢影響範囲
CrowdStrike Falcon等のEDRを利用している全世界の組織および企業
✅該当時の対応
信頼できないサードパーティ製ドライバのロードを制限する設定(WindowsのHVCI/メモリ整合性の有効化など)を導入し、ドライバ署名強制適用を徹底すること。また、不審なドライバのロードに関するイベントログを監視することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【重要】CrowdStrike Falcon等を無効化するBYOVD攻撃手法の検出について
お疲れさまです。EDR回避に関する深刻な脆弱性情報の共有です。
■ 概要
正当なデジタル署名を持つ脆弱なカーネルドライバを悪用し、特権レベルでセキュリティプロセスを強制終了させる「BYOVD (Bring Your Own Vulnerable Driver)」攻撃手法が報告されました。この手法により、CrowdStrike Falconを含む主要なEDR製品がサイレントに無効化される可能性があります。攻撃者はIOCTLインターフェースを通じてカーネル関数(ZwTerminateProcess等)を呼び出し、ユーザーモードの保護を完全にバイパスします。
■ 影響範囲
- CrowdStrike Falcon および同様のカーネル保護メカニズムに依存するEDR製品を利用している環境
- Windows OSを搭載したエンドポイント
■ 対応手順
1. Windowsの「メモリ整合性 (HVCI)」を有効化し、脆弱なドライバのロードを制限する設定を導入してください。
2. ドライバ署名強制適用のポリシーを徹底し、未承認のドライバ導入を制限してください。
3. 不審なサードパーティ製ドライバのロードに関するイベントログを監視し、異常な挙動がないか確認してください。
■ 参考情報
- 報告ソース: freebuf / core-jmp 研究報告
対応優先度: 高(速やかな設定確認と対策の検討を推奨します)
お疲れさまです。EDR回避に関する深刻な脆弱性情報の共有です。
■ 概要
正当なデジタル署名を持つ脆弱なカーネルドライバを悪用し、特権レベルでセキュリティプロセスを強制終了させる「BYOVD (Bring Your Own Vulnerable Driver)」攻撃手法が報告されました。この手法により、CrowdStrike Falconを含む主要なEDR製品がサイレントに無効化される可能性があります。攻撃者はIOCTLインターフェースを通じてカーネル関数(ZwTerminateProcess等)を呼び出し、ユーザーモードの保護を完全にバイパスします。
■ 影響範囲
- CrowdStrike Falcon および同様のカーネル保護メカニズムに依存するEDR製品を利用している環境
- Windows OSを搭載したエンドポイント
■ 対応手順
1. Windowsの「メモリ整合性 (HVCI)」を有効化し、脆弱なドライバのロードを制限する設定を導入してください。
2. ドライバ署名強制適用のポリシーを徹底し、未承認のドライバ導入を制限してください。
3. 不審なサードパーティ製ドライバのロードに関するイベントログを監視し、異常な挙動がないか確認してください。
■ 参考情報
- 報告ソース: freebuf / core-jmp 研究報告
対応優先度: 高(速やかな設定確認と対策の検討を推奨します)
Subject: [Security Advisory] BYOVD Technique Capable of Disabling CrowdStrike Falcon EDR
Dear IT Administration Team,
We are sharing critical information regarding a new technique used to bypass Endpoint Detection and Response (EDR) systems.
■ Overview
Researchers have identified a "Bring Your Own Vulnerable Driver" (BYOVD) attack that can disable top-tier security solutions, including CrowdStrike Falcon. By leveraging a legitimately signed but vulnerable kernel driver, attackers can use a specific IOCTL interface (0x22E010) to call kernel functions such as ZwTerminateProcess, effectively killing security processes from the kernel level and bypassing user-mode protections (PPL).
■ Scope
- Environments utilizing CrowdStrike Falcon or similar EDR solutions.
- Windows-based endpoints.
■ Recommended Actions
1. Enable Hypervisor-Protected Code Integrity (HVCI) / Memory Integrity to restrict the loading of vulnerable drivers.
2. Enforce strict driver signing policies to prevent the installation of unauthorized third-party drivers.
3. Monitor system event logs for the loading of suspicious or unknown third-party drivers.
■ Reference
- Source: freebuf / core-jmp research
Priority: High (Prompt review and implementation of mitigation measures are recommended.)
Dear IT Administration Team,
We are sharing critical information regarding a new technique used to bypass Endpoint Detection and Response (EDR) systems.
■ Overview
Researchers have identified a "Bring Your Own Vulnerable Driver" (BYOVD) attack that can disable top-tier security solutions, including CrowdStrike Falcon. By leveraging a legitimately signed but vulnerable kernel driver, attackers can use a specific IOCTL interface (0x22E010) to call kernel functions such as ZwTerminateProcess, effectively killing security processes from the kernel level and bypassing user-mode protections (PPL).
■ Scope
- Environments utilizing CrowdStrike Falcon or similar EDR solutions.
- Windows-based endpoints.
■ Recommended Actions
1. Enable Hypervisor-Protected Code Integrity (HVCI) / Memory Integrity to restrict the loading of vulnerable drivers.
2. Enforce strict driver signing policies to prevent the installation of unauthorized third-party drivers.
3. Monitor system event logs for the loading of suspicious or unknown third-party drivers.
■ Reference
- Source: freebuf / core-jmp research
Priority: High (Prompt review and implementation of mitigation measures are recommended.)