### El auge de los BYOVD: Cómo los atacantes burlan las EDR mediante drivers vulnerables

#### Introducción

En los últimos meses, el sector de la ciberseguridad ha sido testigo de una alarmante sofisticación en las técnicas de evasión empleadas por actores maliciosos, centradas especialmente en la neutralización de soluciones de detección y respuesta en endpoints (EDR). El uso de ataques Bring Your Own Vulnerable Driver (BYOVD) para desplegar denominados “EDR killers” está emergiendo como uno de los métodos más eficaces para eludir mecanismos de defensa avanzados, poniendo en jaque a analistas SOC, CISOs y equipos de respuesta ante incidentes.

#### Contexto del Incidente o Vulnerabilidad

El concepto BYOVD no es nuevo, pero su adopción ha crecido exponencialmente a raíz de la publicación recurrente de vulnerabilidades críticas en drivers legítimos de fabricantes reconocidos (NVIDIA, Intel, Gigabyte, etc.). Los atacantes aprovechan la capacidad de Windows para cargar drivers firmados, incluso si estos presentan fallos de seguridad previos. Así, logran ejecutar código en kernel-mode y desactivar o alterar procesos y hooks de los módulos EDR, impidiendo su correcta detección de amenazas.

En 2023 y 2024, se ha observado un notable incremento en campañas de ransomware y APTs que incluyen módulos BYOVD, con una especial preferencia por exploits automatizados integrados en frameworks como Metasploit o Cobalt Strike, y con herramientas especializadas como “Terminator” o “EDRSilencer”, disponibles en foros clandestinos.

#### Detalles Técnicos

El ataque BYOVD explota vulnerabilidades identificadas bajo CVE específicos, como CVE-2019-16098 (driver de GIGABYTE), CVE-2018-19320 (ASUS) o CVE-2022-21894 (driver de NVIDIA), permitiendo la escalada de privilegios y el acceso a memoria protegida. Los atacantes, tras obtener acceso inicial (phishing, explotación de RDP, etc.), cargan el driver vulnerable firmado y ejecutan payloads que desactivan procesos EDR o eliminan hooks de API críticos.

En la taxonomía MITRE ATT&CK, este vector se encuadra en las técnicas T1562.001 (Impair Defenses: Disable or Modify Tools) y T1068 (Exploitation for Privilege Escalation). Los Indicadores de Compromiso (IoC) típicos incluyen la aparición de drivers no habituales en C:WindowsSystem32drivers, modificaciones en claves de registro relacionadas con servicios de seguridad y eventos anómalos en el ETW (Event Tracing for Windows).

La sofisticación de los EDR killers actuales permite la descarga y carga dinámica de drivers, el uso de técnicas anti-debugging y la persistencia mediante Scheduled Tasks o servicios de Windows, dificultando la remediación manual y el análisis forense post-mortem.

#### Impacto y Riesgos

La principal consecuencia de un ataque BYOVD exitoso es la ceguera total o parcial de la solución EDR, abriendo la puerta a la ejecución sigilosa de ransomware, exfiltración de datos o movimientos laterales sin ser detectados. Según estudios recientes, hasta un 27% de las intrusiones avanzadas en entornos corporativos durante 2023 utilizaron técnicas BYOVD en algún momento de la cadena de ataque.

Los riesgos incluyen el incumplimiento de normativas como GDPR o NIS2, dada la posible fuga de información personal o datos críticos sin capacidad de respuesta a tiempo. Las pérdidas económicas asociadas a incidentes de este tipo pueden oscilar entre 500.000 y 2 millones de euros, considerando costes de recuperación, sanciones y daños reputacionales.

#### Medidas de Mitigación y Recomendaciones

Si bien detener los EDR killers basados en BYOVD es complejo, existen medidas técnicas y organizativas recomendadas:

– **Lista de bloqueo de drivers**: Mantener y actualizar listas de drivers vulnerables (Microsoft Vulnerable Driver Blocklist) para evitar su carga en endpoints.
– **Políticas de control de aplicaciones**: Implementar Applocker o Windows Defender Application Control (WDAC) para restringir la ejecución de drivers no autorizados.
– **Monitorización avanzada**: Correlacionar logs de eventos del sistema y alertas EDR para identificar intentos sospechosos de carga de drivers.
– **Actualización y parcheo**: Priorizar el despliegue de parches de seguridad en endpoints y revisar firmwares y drivers instalados.
– **Hardening a nivel de kernel**: Activar HVCI (Hypervisor-protected Code Integrity) y Secure Boot para dificultar la manipulación del kernel.
– **Formación y concienciación**: Capacitar a los equipos IT y de seguridad sobre los nuevos TTPs y la importancia de auditar los controladores instalados.

#### Opinión de Expertos

Investigadores de empresas como Mandiant o SentinelOne coinciden en que la proliferación de BYOVD es consecuencia directa de la falta de control sobre la cadena de suministro de software y la laxitud en la verificación de firmas digitales de drivers. Según Pablo San Emeterio, experto en respuesta a incidentes, “la defensa proactiva pasa por asumir que los atacantes buscarán siempre el eslabón más débil: la gestión de controladores es, hoy, ese eslabón”.

#### Implicaciones para Empresas y Usuarios

Para las organizaciones, este vector de ataque exige un replanteamiento de las estrategias de defensa en profundidad, ya que confiar únicamente en EDR ya no es suficiente. Los responsables de seguridad deben incorporar controles a nivel de BIOS/UEFI, segmentación de red y respuesta automatizada, además de fortalecer la gestión de activos y la visibilidad en endpoints.

A nivel de usuario, la recomendación es evitar la instalación de drivers desde fuentes no verificadas y reportar cualquier anomalía en el comportamiento del equipo a los responsables de IT.

#### Conclusiones

El auge de los ataques BYOVD y la efectividad de los EDR killers evidencian la necesidad urgente de reforzar la seguridad a nivel de kernel y optimizar los procesos de gestión de controladores. La colaboración entre fabricantes, desarrolladores de EDR y equipos de seguridad será clave para mitigar este tipo de amenazas en el futuro inmediato.

(Fuente: www.darkreading.com)