Phantom Killer: Evasão de EDR via driver da Lenovo

O pesquisador Jehad Abu Dagga da e& UAE (etisalat and) fez engenharia reversa do driver BootRepair.sys usado pelo Lenovo PC Manager e descobriu falhas de segurança críticas que podem ser abusadas: 📌 O dispositivo \Device\BootRepair criado pelo driver não tem DACL definido, permitindo que qualquer usuário com baixos privilégios interaja com ele. 📌 O dispatcher IOCTL não verifica permissões ao invocar a função de terminação de processo (sub_14000198C) 📌 Um link simbólico \DosDevices\BootRepair é criado no espaço do usuário, permitindo acesso direto ao dispositivo a partir do espaço do usuário.

⚠️ O PoC desenvolvido pode terminar qualquer processo especificando seu PID.

🥷 Vantagem chave para um atacante: o driver é legítimo e assinado pela Lenovo, permitindo que ele bypassse as verificações de Driver Signature Enforcement (DSE).

🎯 Cenários de ataque: ✅ Se o driver já estiver carregado no sistema: qualquer usuário com baixos privilégios pode acessá-lo sem restrições e terminar qualquer processo, incluindo EDR/AV. ✅ Se o driver não estiver carregado: um atacante pode carregar o driver confiável e assinado (ataque Bring Your Own Vulnerable Driver — BYOVD) e depois usá-lo para matar processos protegidos.

📎Artigo: https://medium.com/@jehadbudagga/phantom-killer-reverse-engineering-and-weaponizing-a-lenovo-driver-to-terminate-edr-processes-9191cd06374f 🦠PoC: https://github.com/redteamfortress/PhantomKiller, https://git.redteamfortress.com/j3h4ck/PhantomKiller

💬 Discutir