I en ny rapport beskriver IT-säkerhetsföretaget Sophos hur Blackbyte utnyttjat en sårbarhet i RTCorec6.sys, en drivrutin för grafikverktyg för Windows-system. Det ger dem möjlighet att kommunicera direkt med det aktuella systemet och beordra det att inaktivera återuppringningsrutiner som används av både EDR-leverantörer och ETW (Event Tracing for Windows).
– Om man tänker sig datorn som en fästning så är ETW för många EDR-leverantörer att likna vid vakten vid den främre porten. Om vakten sätts ur spel gör det resten av systemet väldigt sårbart. Och eftersom ETW används av så många olika leverantörer är BlackBytes möjligheter att på detta vis använda och kringgå EDR-lösningar mycket stora, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.