Aanvallers gebruiken ThrottleStop-driver voor uitschakelen antivirussoftware
Aanvallers maken gebruik van een kwetsbaarheid in een driver van TechPowerUp ThrottleStop om antivirussoftware op systemen uit te schakelen en uiteindelijk ransomware uit te rollen. Dat laat antivirusbedrijf Kaspersky in een analyse weten. ThrottleStop is een door TechPowerUp ontwikkelde applicatie waarmee gebruikers het throttlen van hun laptop kunnen tegengaan.
De applicatie maakt gebruik van een driver die een kwetsbaarheid (CVE-2025-7771) bevat. Via het beveiligingslek kan een aanvaller die al toegang tot het systeem heeft willekeurige code met kernelrechten uitvoeren. Zo is het onder andere mogelijk om aanwezige beveiligingssoftware op het systeem uit te schakelen. De techniek wordt Bring Your Own Driver of Bring Your Own Vulnerable Driver genoemd.
Drivers draaien met verhoogde rechten op het systeem. Kwetsbaarheden in drivers bieden aanvallers daardoor de mogelijkheid om het kernelgeheugen te lezen of daarnaartoe te schrijven en zo code uit te voeren. In het verleden hebben aanvallers allerlei soorten kwetsbare drivers gebruikt. Antivirusbedrijf Kaspersky meldt nu dat ook de ThrottleStop-driver bij aanvallen wordt ingezet.
De virusbestrijder bespreekt in een analyse een incident waarbij aanvallers via RDP toegang tot een SMTP-server van een niet nader genoemde organisatie wisten te krijgen. De aanvallers wisten zich lateraal door het netwerk te bewegen en gebruikten uiteindelijk de kwetsbare driver om beveiligingssoftware op servers en endpoints uit te schakelen, waarna ransomware werd uitgerold.
Volgens Kaspersky is er recentelijk een toename van aanvallen waarbij "AV killers" of "EDR killers", die van kwetsbare drivers gebruikmaken, worden ingezet. De ontwikkelaars van ThrottleStop zouden inmiddels aan een update werken. Zolang de update niet beschikbaar is stelt Kaspersky dat beveiligingsoplossingen op de aanwezigheid van deze kwetsbare driver moeten monitoren om misbruik te voorkomen.
Het werkt via “Bring Your Own Vulnerable Driver” (BYOVD), wat in dit geval eigenlijk staat voor “Breng Je Eigen WelkomstDeur” voor ransomware. Want waarom zou een aanvaller moeite doen om antivirus te omzeilen, als je het gewoon met kernelrechten kunt uitschakelen alsof het een Netflix-abonnement is dat je niet meer gebruikt?
De casus die Kaspersky beschrijft leest als een slecht geschreven actiethriller: aanvallers wandelen via RDP een SMTP-server binnen, slenteren door het netwerk, gooien de beveiliging uit, en rollen vrolijk ransomware uit — allemaal dankzij een driver die meer vertrouwen geniet dan sommige schoonfamilies.
De ontwikkelaars werken nu aan een update, maar tot die tijd: hou je ogen open voor deze driver. Want niets is zo ironisch als een programma dat bedoeld is om je laptop beter te laten presteren… door hem volledig op slot te laten zetten door criminelen.
Het werkt via “Bring Your Own Vulnerable Driver” (BYOVD), wat in dit geval eigenlijk staat voor “Breng Je Eigen WelkomstDeur” voor ransomware. Want waarom zou een aanvaller moeite doen om antivirus te omzeilen, als je het gewoon met kernelrechten kunt uitschakelen alsof het een Netflix-abonnement is dat je niet meer gebruikt?
De casus die Kaspersky beschrijft leest als een slecht geschreven actiethriller: aanvallers wandelen via RDP een SMTP-server binnen, slenteren door het netwerk, gooien de beveiliging uit, en rollen vrolijk ransomware uit — allemaal dankzij een driver die meer vertrouwen geniet dan sommige schoonfamilies.
De ontwikkelaars werken nu aan een update, maar tot die tijd: hou je ogen open voor deze driver. Want niets is zo ironisch als een programma dat bedoeld is om je laptop beter te laten presteren… door hem volledig op slot te laten zetten door criminelen.
Kwetsbaarheid in Drivers.
De ontdekking van de kwetsbaarheid (CVE-2025-7771) in de ThrottleStop-driver is een belangrijke waarschuwing voor zowel gebruikers als ontwikkelaars. Drivers draaien met verhoogde rechten, wat betekent dat kwetsbaarheden in deze componenten ernstige gevolgen kunnen hebben. Het feit dat aanvallers deze kwetsbaarheid kunnen gebruiken om antivirussoftware uit te schakelen en ransomware te verspreiden, toont aan hoe cruciaal het is om drivers regelmatig te controleren en bij te werken.
Bring Your Own Driver (BYOD) Aanvalstechniek.
De techniek die wordt aangeduid als "Bring Your Own Driver" of "Bring Your Own Vulnerable Driver" is een zorgwekkende ontwikkeling in de wereld van cyberaanvallen. Dit laat zien hoe aanvallers gebruik kunnen maken van bestaande software om hun aanvallen te vergemakkelijken. Het benadrukt de noodzaak voor organisaties om niet alleen hun eigen software, maar ook derde partij drivers en applicaties te monitoren en te beveiligen.
Impact op Beveiligingssoftware.
Het uitschakelen van beveiligingssoftware is een van de meest verontrustende aspecten van deze aanval. Dit ondermijnt de basis van wat antivirussoftware zou moeten doen: systemen beschermen tegen malware en andere bedreigingen. Het is essentieel dat beveiligingsbedrijven zoals Kaspersky blijven innoveren en hun producten aanpassen aan de steeds veranderende dreigingen.
Toename van Aanvallen.
Kaspersky's melding van een toename van aanvallen waarbij "AV killers" en "EDR killers" worden gebruikt, is een belangrijke indicator van de evolutie van cyberdreigingen. Dit kan organisaties dwingen om hun beveiligingsstrategieën te herzien en meer aandacht te besteden aan de beveiliging van hun infrastructuur, inclusief de monitoring van kwetsbare drivers.
Reactie van Ontwikkelaars.
Het feit dat de ontwikkelaars van ThrottleStop aan een update werken, is een positieve stap. Het is echter van cruciaal belang dat deze updates snel en effectief worden uitgerold om gebruikers te beschermen tegen mogelijke aanvallen. Totdat de update beschikbaar is, is het belangrijk dat organisaties proactief zijn in het monitoren van hun systemen op de aanwezigheid van kwetsbare drivers.
Conclusie.
De kwetsbaarheid in de ThrottleStop-driver en het gebruik ervan door aanvallers is een belangrijke herinnering aan de noodzaak voor voortdurende waakzaamheid in de cybersecurity-wereld. Organisaties moeten hun beveiligingsmaatregelen herzien en ervoor zorgen dat ze niet alleen hun eigen software, maar ook derde partij drivers en applicaties goed beveiligen. Het is essentieel dat zowel ontwikkelaars als gebruikers samenwerken om de digitale infrastructuur te beschermen tegen deze steeds geavanceerdere dreigingen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?