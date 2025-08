Aanvallers maken gebruik van een kwetsbaarheid in een driver van TechPowerUp ThrottleStop om antivirussoftware op systemen uit te schakelen en uiteindelijk ransomware uit te rollen. Dat laat antivirusbedrijf Kaspersky in een analyse weten. ThrottleStop is een door TechPowerUp ontwikkelde applicatie waarmee gebruikers het throttlen van hun laptop kunnen tegengaan.

De applicatie maakt gebruik van een driver die een kwetsbaarheid (CVE-2025-7771) bevat. Via het beveiligingslek kan een aanvaller die al toegang tot het systeem heeft willekeurige code met kernelrechten uitvoeren. Zo is het onder andere mogelijk om aanwezige beveiligingssoftware op het systeem uit te schakelen. De techniek wordt Bring Your Own Driver of Bring Your Own Vulnerable Driver genoemd.

Drivers draaien met verhoogde rechten op het systeem. Kwetsbaarheden in drivers bieden aanvallers daardoor de mogelijkheid om het kernelgeheugen te lezen of daarnaartoe te schrijven en zo code uit te voeren. In het verleden hebben aanvallers allerlei soorten kwetsbare drivers gebruikt. Antivirusbedrijf Kaspersky meldt nu dat ook de ThrottleStop-driver bij aanvallen wordt ingezet.

De virusbestrijder bespreekt in een analyse een incident waarbij aanvallers via RDP toegang tot een SMTP-server van een niet nader genoemde organisatie wisten te krijgen. De aanvallers wisten zich lateraal door het netwerk te bewegen en gebruikten uiteindelijk de kwetsbare driver om beveiligingssoftware op servers en endpoints uit te schakelen, waarna ransomware werd uitgerold.

Volgens Kaspersky is er recentelijk een toename van aanvallen waarbij "AV killers" of "EDR killers", die van kwetsbare drivers gebruikmaken, worden ingezet. De ontwikkelaars van ThrottleStop zouden inmiddels aan een update werken. Zolang de update niet beschikbaar is stelt Kaspersky dat beveiligingsoplossingen op de aanwezigheid van deze kwetsbare driver moeten monitoren om misbruik te voorkomen.