BYOVD (Bring-Your-Own-Vulnerable-Driver) 是近年攻擊各大安全防護的新趨勢 — 野外惡意程式攜帶了具有弱點的第三方廠商之驅動文件對系統內核漏洞攻擊，例如 2022年末的新勒索團體 Cuba 便利用此手法提權以躲避防毒偵測進行勒索攻擊；而這類型攻擊由於能拿下內核主控權，因此將使攻擊者能提升權限、長期潛伏甚至嚴重至關閉本地防毒軟體；而為了抵禦這類型針對內核的攻擊，微軟自 Windows RS2 (1703) 便多管齊下於內核部屬了多道防護措施，諸如 KASLR、KCFG、SMEP、KCET… 並引入了 Hyper-V 對整個 Windows 11 進行 Core Isolation 系統核心隔離技術以確保這些 Kernel Pwn 技術將難以被 RCE 利用。

然而有了這些內核防護設計便安全無虞了嗎？或許不。在這場議程，我們將討論野外如何將原本用於 RCE 的 Kernel Pwn 技巧降維打擊成為 LPE 的武器化新趨勢—甚至使得「無驅動的 BYOVD 攻擊」成為新的武器化思路、以躲過當前主流基於脆弱驅動掛載黑名單設計不再有效抵禦 BYOVD 攻擊。

議程內容將包括 Intel 定址模型、系統與晶片如何接管處理序前後文切換、與脆弱驅動的任意寫如何被濫用至在內核運行 Shellcode。並延伸至 Windows 催生的 Hyper-V 應用 Intel SLAT 技術落地了 HVCI 虛擬化內核保護，與攻擊者如何在內核中串接 ROP chain 完成通殺繞過 Windows 11 全防護下執行內核 Shellcode。而在議程尾聲，我們也分享如何正確啟用這些保護以確保企業不受這新型態內核攻擊手段而癱瘓資安產品的策略。