B
今週中
Lenovoの署名済みドライバー「BootRepair.sys」に、カーネルレベルで任意のプロセスを強制終了させることができる脆弱性
📌 一言でいうと
Lenovoの署名済みドライバー「BootRepair.sys」に、カーネルレベルで任意のプロセスを強制終了させることができる脆弱性が発見されました。攻撃者はこのドライバーを悪用して、CrowdStrike FalconなどのEDRやアンチウイルスソフトを無効化し、検知を回避することが可能です。これは「BYOVD (Bring Your Own Vulnerable Driver)」と呼ばれる攻撃手法の一種であり、正規の署名があるため従来の検知をすり抜ける危険性があります。
🔍該当判定
- 社内でLenovo(レノボ)製のPCを利用している
- PCに「Lenovo PC Manager」という管理ツールがインストールされている
- CrowdStrike FalconなどのEDR(エンドポイント検知・対応)製品を導入して運用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. Microsoftが推奨する脆弱なドライバーのブロックリストを適用する。2. 不審なドライバーのロードやカーネルレベルの挙動を監視する。3. 未承認のドライバーロードを制限する設定を導入する。4. 正規ドライバーの悪用を検知可能なEDR設定を検討する。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Lenovo製ドライバー (BootRepair.sys) を悪用したEDR停止リスクについて
お疲れさまです。Lenovoの署名済みドライバーに起因するセキュリティリスクに関する情報共有です。
■ 概要
Lenovo PC Managerに付属する「BootRepair.sys」に、特権昇格およびプロセス強制終了が可能な脆弱性が存在します。攻撃者がこのドライバーをロードすることで、カーネル権限でEDRやアンチウイルス等のセキュリティプロセスを停止させることが可能です(BYOVD攻撃)。
■ 影響範囲
- 対象ドライバー: BootRepair.sys (SHA-256: 5ab36c116767eaae53a466fbc2dae7cfd608ed77721f65e83312037fbd57c946)
- Lenovo製PCを利用している環境
■ 対応手順
1. Windowsの「脆弱なドライバーのブロックリスト」機能を有効化し、既知の脆弱なドライバーのロードを制限してください。
2. EDR等のログを確認し、不審なドライバーのロードや、セキュリティサービスの予期せぬ停止が発生していないか監視してください。
3. 不要なLenovo製ユーティリティの削除または更新を検討してください。
■ 参考情報
- Hackers Can Weaponize Lenovo Driver to Terminate EDR Processes
対応優先度: 高
対応期限: 速やかに確認
お疲れさまです。Lenovoの署名済みドライバーに起因するセキュリティリスクに関する情報共有です。
■ 概要
Lenovo PC Managerに付属する「BootRepair.sys」に、特権昇格およびプロセス強制終了が可能な脆弱性が存在します。攻撃者がこのドライバーをロードすることで、カーネル権限でEDRやアンチウイルス等のセキュリティプロセスを停止させることが可能です(BYOVD攻撃)。
■ 影響範囲
- 対象ドライバー: BootRepair.sys (SHA-256: 5ab36c116767eaae53a466fbc2dae7cfd608ed77721f65e83312037fbd57c946)
- Lenovo製PCを利用している環境
■ 対応手順
1. Windowsの「脆弱なドライバーのブロックリスト」機能を有効化し、既知の脆弱なドライバーのロードを制限してください。
2. EDR等のログを確認し、不審なドライバーのロードや、セキュリティサービスの予期せぬ停止が発生していないか監視してください。
3. 不要なLenovo製ユーティリティの削除または更新を検討してください。
■ 参考情報
- Hackers Can Weaponize Lenovo Driver to Terminate EDR Processes
対応優先度: 高
対応期限: 速やかに確認
Subject: [Security Alert] EDR Termination Risk via Lenovo Driver (BootRepair.sys)
Dear IT/Security Team,
We are sharing information regarding a security risk associated with a signed Lenovo driver.
■ Overview
A vulnerability in the 'BootRepair.sys' driver (part of Lenovo PC Manager) allows attackers to terminate any process at the kernel level. This enables a BYOVD (Bring Your Own Vulnerable Driver) attack to disable security agents, such as EDRs (e.g., CrowdStrike Falcon), bypassing endpoint protections.
■ Scope
- Affected Driver: BootRepair.sys (SHA-256: 5ab36c116767eaae53a466fbc2dae7cfd608ed77721f65e83312037fbd57c946)
- Environments utilizing Lenovo PCs
■ Mitigation Steps
1. Enable Microsoft's 'Vulnerable Driver Blocklist' to prevent the loading of known vulnerable drivers.
2. Monitor EDR/SIEM logs for unauthorized driver loads or unexpected termination of security services.
3. Review and update or remove unnecessary Lenovo utility software.
■ Reference
- Hackers Can Weaponize Lenovo Driver to Terminate EDR Processes
Priority: High
Deadline: Immediate review
Dear IT/Security Team,
We are sharing information regarding a security risk associated with a signed Lenovo driver.
■ Overview
A vulnerability in the 'BootRepair.sys' driver (part of Lenovo PC Manager) allows attackers to terminate any process at the kernel level. This enables a BYOVD (Bring Your Own Vulnerable Driver) attack to disable security agents, such as EDRs (e.g., CrowdStrike Falcon), bypassing endpoint protections.
■ Scope
- Affected Driver: BootRepair.sys (SHA-256: 5ab36c116767eaae53a466fbc2dae7cfd608ed77721f65e83312037fbd57c946)
- Environments utilizing Lenovo PCs
■ Mitigation Steps
1. Enable Microsoft's 'Vulnerable Driver Blocklist' to prevent the loading of known vulnerable drivers.
2. Monitor EDR/SIEM logs for unauthorized driver loads or unexpected termination of security services.
3. Review and update or remove unnecessary Lenovo utility software.
■ Reference
- Hackers Can Weaponize Lenovo Driver to Terminate EDR Processes
Priority: High
Deadline: Immediate review