# CVE-2015-2291 > [!medium] Driver Intel Vulnerável - Usado em Ataques BYOVD pelo Scattered Spider > Vulnerabilidade no driver de diagnóstico de rede da Intel (iqvw64.sys) que permite elevação de privilégio para kernel. Utilizada pelo grupo **Scattered Spider** em ataques BYOVD (Bring Your Own Vulnerable Driver) para desabilitar soluções de segurança. ## Visão Geral A [[cve-2015-2291|CVE-2015-2291]] é uma vulnerabilidade no driver legítimo de diagnóstico de rede da Intel (`iqvw32.sys` / `iqvw64.sys`). Apesar de ser uma CVE de 2015, ela ganhou relevância renovada na era moderna devido à técnica **BYOVD (Bring Your Own Vulnerable Driver)** — onde atacantes carregam intencionalmente um driver legítimo mas vulnerável para explorar seu acesso privilegiado ao kernel. O grupo [[g1015-scattered-spider|Scattered Spider]], conhecido por ataques sofisticados de engenharia social e comprometimento de grandes organizações, utilizou esta técnica em campanhas recentes. Ao carregar o driver Intel vulnerável no sistema-alvo, o grupo consegue executar código no nível do kernel para desabilitar produtos de segurança (EDRs, antivírus) que normalmente são protegidos contra manipulação a partir do espaço de usuário. Esta abordagem é especialmente eficaz porque o driver Intel possui assinatura digital válida da Microsoft, permitindo que ele seja carregado sem acionar alertas de driver não assinado — uma limitação que o Windows Secure Boot e o Driver Signature Enforcement normalmente impõem. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Produto | Intel Ethernet Diagnostics Driver | | Arquivo | iqvw32.sys / iqvw64.sys | | Tipo | Elevação de Privilégio para Kernel | | Técnica de Abuso | BYOVD (Bring Your Own Vulnerable Driver) | | Uso Moderno | Desabilitar EDR/AV como parte de kill chain | | CVSS Base | 7.2 | ## Técnica BYOVD A exploração via BYOVD segue o padrão: 1. Atacante obtém acesso administrativo ao sistema (por outros meios) 2. Carrega `iqvw64.sys` no sistema-alvo (driver legítimo, assinado) 3. Explora CVE-2015-2291 para executar código no kernel 4. Usa acesso ao kernel para terminar processos de segurança (EDR, AV) 5. Prossegue com a intrusão sem detecção ## TTPs Relacionados - [[t1068-exploitation-for-privilege-escalation|T1068]] - Exploração para Escalada de Privilégio - [[t1014-rootkit|T1014]] - Rootkit - [[t1562-001-disable-or-modify-tools|T1562.001]] - Desabilitar ou Modificar Ferramentas - [[t1553-006-code-signing-policy-modification|T1553]] - Assinatura de Código ## Mitigação - Adicionar hash dos drivers vulneráveis à blocklist do Windows Defender (Microsoft HVCI blocklist) - Ativar Hypervisor-Protected Code Integrity (HVCI) em sistemas Windows 10/11 - Monitorar carregamento de drivers conhecidos como vulneráveis via lista da Microsoft - Alertar para carregamento de drivers Intel fora de contexto de atualização de hardware > [!latam] Relevância para Brasil e LATAM > O Scattered Spider (também conhecido como UNC3944) tem alvejado empresas de telecomúnicações, hospitalidade e finanças globalmente, com expansão para LATAM. A técnica BYOVD com drivers Intel é particularmente difícil de detectar com soluções de segurança tradicionais, tornando a configuração de HVCI e monitoramento de carregamento de drivers essencial para organizações brasileiras de setores visados. ## Referências - [Microsoft HVCI Driver Blocklist](https://learn.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-driver-block-rules) - [CrowdStrike - Scattered Spider BYOVD](https://www.crowdstrike.com/blog/scattered-spider-attempts-to-avoid-detection-with-bring-your-own-vulnerable-driver-tactic/) - [NVD - CVE-2015-2291](https://nvd.nist.gov/vuln/detail/CVE-2015-2291)