現代Windows 版本支援透過Windows 驅動程式模型（WDM）和Windows 驅動程式框架（WDF）編寫的裝置驅動程式。這兩種模式都可被利用來入侵已完全更新的Windows 安裝，從而不受限制地控制易受攻擊的系統。

VMware威脅分析部門（TAU）的漏洞獵人發現了34個獨特的易受攻擊Windows驅動程序，其中237個不同的檔案雜湊值屬於傳統裝置。儘管其中許多驅動程式的安全憑證已被吊銷或過期，但各行各業的公司和其他組織仍在使用它們來支援舊硬體。

VMware 的TAU 透過實施靜態分析自動化腳本發現了這個”獨特”的攻擊向量，發現30 個WDM 和4 個WDF 驅動程式的韌體存取權可為非管理員使用者提供對設備的完全控制。目前，Windows 11系統預設透過”受管理程式保護的程式碼完整性”（HVCI）功能阻止易受攻擊的驅動程式；但是，TAU的分析人員能夠在支援HVCI的Windows 11系統上載入新發現的驅動程式，只有5個驅動程式除外。

TAU說，透過利用易受攻擊的驅動程序，沒有系統權限的惡意行為者可以清除或更改機器的韌體、提升存取權限、停用安全功能、安裝抗病毒引導工具包等。先前對易受攻擊驅動程式的研究主要集中在較舊的WDM 模式上，但VMware 分析師也能在較新的WDF 驅動程式中發現問題。

在發現存在漏洞的驅動程式後，研究人員開發了強大的概念驗證（PoC）漏洞，以實際驗證他們的發現。一個針對AMD 驅動程式(pdfwkrnl.sys) 的PoC 可以在支援HVCI 的Windows 11 作業系統上以”系統完整性等級”執行命令提示字元(cmd.exe)，而另一個PoC 則可以在英特爾Apollo SoC 平台上提供韌體擦除功能（至少是韌體自身SPI 快閃記憶體中的前4KB 資料）。

雖然研究人員已經報告了大量易受攻擊的驅動程序，但TAU表示，他們的新分析方法足以發現仍包含有效簽署的新驅動程式。微軟試圖用”禁用名單”的方法來解決易受攻擊的驅動程式問題，但TAU提出了一種更全面的方法。

VMware 分析師正在GitHub 上以開源程式碼的形式發布他們的腳本和PoC。他們還提供了”僅限於”韌體存取的說明，但代碼可以輕鬆擴展到其他攻擊載體。易受攻擊驅動程式的IoC（入侵指標）清單已經公開，可透過”Living Off The Land Drivers watchlist”存取：

https://www.loldrivers.io/