VEN0m: il ransomware in Rust che disabilita Windows Defender con un driver firmato... IObit
- a cura di: massimo.valenti
- Commenti:
- Letture:
- Aggiornato: 01/04/2026, 22:57
- Pubblicato: 01/04/2026, 22:56
Autore umano, supporto AI
Gli articoli di TurboLab.it sono curati dagli utenti della nostra community, ma possono essere generati o migliorati tramite intelligenza artificiale.
Stai leggendo un articolo su Microsoft Windows
Per tutti gli articoli e le guide che riguardano il più popolare sistema operativo per PC, sfoglia il "Canale Windows".
Un ransomware scritto in Rust neutralizza Windows Defender - e non solo - su un sistema Windows 11 Pro completamente aggiornato. Nessuna vulnerabilità zero-day, nessuna iniezione di codice in memoria. Solo un driver firmato, legittimo, distribuito con un prodotto commerciale di sicurezza.
Cos'è VEN0m e come funziona
VEN0m è un proof-of-concept di ransomware pubblicato su GitHub il 23 febbraio 2026. Scritto in Rust, sfrutta una tecnica nota come BYOVD - Bring Your Own Vulnerable Driver - per smantellare antivirus e EDR sul sistema bersaglio. L'autore lo definisce «completamente non rilevabile alla data di rilascio iniziale». Affermazione audace. I test, però, offrono un quadro che la supporta in modo scomodo.
Il fulcro dell'attacco è il driver IMFForceDelete.sys, file legittimo distribuito con IObit Malware Fighter v12.1.0 e che prevede una firma digitale valida: Windows lo carica quindi senza battere ciglio. Il guaio è che tale libreria espone una funzione che permette a utenti non privilegiati di cancellare file in modo arbitrario. La vulnerabilità è tracciata come CVE-2025-26125.
La strategia di VEN0m è tanto elegante quanto brutale. Invece di manipolare i processi di sicurezza caricate in memoria o invocare API sospette che verrebbero intercettate, il ransomware cancella direttamente i file di installazione su disco dei prodotti antivirus e EDR. I processi in esecuzione, privati dei file necessari, si corrompono progressivamente fino a smettere di funzionare.
È un approccio che opera, come sottolinea la documentazione del progetto, nel «punto cieco della maggior parte dei prodotti di difesa». Difficile dargli torto.
Scalata dei privilegi senza chiedere permesso
Per ottenere i privilegi necessari, VEN0m aggira UAC (User Account Control)vfacendo leva su Slui.exe, un binario firmato da Microsoft con auto-elevazione dei privilegi. VEN0m crea una chiave di registro per dirottarne il flusso di esecuzione e guadagnare così privilegi elevati - senza che l'utente veda alcuna finestra di conferma.
La persistenza è garantita dal dirottamento della chiave di registro Winlogon Userinit.
Per quanto riguarda la componente "ransomware" del malware: la cifratura dei file viene usata una chiave hardcoded di 32 byte; i file cifrati ricevono l'estensione .vnm. La chiave fissa tradisce chiaramente la natura dimostrativa del progetto - un ransomware reale userebbe cifratura asimmetrica - ma non cambia di una virgola la pericolosità della tecnica di evasione sottostante.
I risultati: chi resiste e chi crolla
I test sono stati condotti su Windows 11 Pro nella vecchia versione "24H2". I risultati:
- BitDefender: evasione riuscita. Aggiramento UAC riuscito.
- Kaspersky: evasione riuscita. Aggiramento UAC riuscito.
- Microsoft Defender: evasione riuscita. Aggiramento UAC fallito.
Microsoft Defender è l'unico dei tre a bloccare l'escalation dei privilegi via bypass UAC. Non basta. La componente più critica dell'attacco - la neutralizzazione dell'antivirus tramite il driver vulnerabile - passa comunque indisturbata se l'utente accetta il prompt di UAC. Fermare il veicolo di consegna secondario mentre il principale è già dentro è una magra vittoria.
Il vero problema: la lista di blocco che non blocca
Microsoft mantiene una lista di blocco dei driver vulnerabili proprio per prevenire gli attacchi BYOVD: se un driver firmato è noto per essere sfruttabile, il sistema operativo dovrebbe rifiutarsi di caricarlo. IMFForceDelete.sys non è in quella lista. Finché non ci sarà, qualsiasi sistema Windows lo caricherà senza obiezioni, perché la firma digitale è valida e il sistema non sa nient'altro.
Non si tratta di un caso isolato: gli attacchi BYOVD sono in forte crescita e i gruppi ransomware ne sono i principali utilizzatori. Un caso recente ha coinvolto un driver il cui certificato digitale era stato revocato nel 2010 - sedici anni fa - e che è stato comunque sfruttato con successo. La lista di blocco ha delle lacune, e qualcuno le sa sfruttare a dovere.
Una campagna distinta da VEN0m ha visto il driver rwdrv.sys - usato da strumenti legittimi come Throttlestop e RWEverything - sfruttato in attacchi associati al ransomware Akira. In quel caso il driver forniva accesso a livello kernel, consentendo il dispiegamento di un secondo driver malevolo che disabilitava Microsoft Defender agendo sul registro di sistema.
L'onere ricade sugli EDR (e sugli utenti)
Difendersi dal BYOVD è oggi un compito che grava quasi interamente sui produttori di soluzioni EDR - che sono, per una certa ironia della situazione, esattamente il bersaglio di questi attacchi.
Microsoft non ha rilasciato dichiarazioni pubbliche su VEN0m né sull'inclusione di IMFForceDelete.sys nella lista di blocco. Ogni giorno in cui quel driver resta fuori dalla lista è un giorno in cui la tecnica funziona su qualsiasi PC Windows aggiornato.
VEN0m rimane un proof-of-concept, ma la tecnica di evasione è reale, testata e replicabile. Il driver è incluso nel repository. Le istruzioni sono pubbliche. Il varco è aperto, e trasformare questa dimostrazione in qualcosa di operativo non richiede uno sforzo straordinario.
Fonti: nexsys.it
