文章总结： 安全研究人员发现联想合法签名的BootRepair.sys驱动存在内核级漏洞，允许低权限用户通过未受保护的设备接口发送特定IOCTL控制码终止任意进程（包括EDR防护进程），形成BYOVD攻击载体。该驱动具有有效数字签名且初始零检出，可绕过传统防护措施。建议企业采用驱动黑名单、监控内核行为、限制驱动加载权限并部署具备滥用检测能力的EDR解决方案。 综合评分： 82 文章分类： 漏洞分析,恶意软件,终端安全,威胁情报,安全工具

联想签名驱动被黑客用来终止安全进程

FreeBuf

2026年5月23日 18:00 上海

在小说阅读器读本章

去阅读

安全研究人员发现，黑客可利用联想公司合法签名的驱动程序BootRepair.sys强制终止安全进程，这揭示了一种危险的BYOVD（自带漏洞驱动）攻击载体，可绕过端点防护机制。

Part01

驱动漏洞技术分析

安全专家Jehad Abudagga对联想PC Manager工具配套的BootRepair.sys驱动进行分析后发现，该驱动可在内核层面终止任意进程。该驱动具有联想有效数字签名，分析时在VirusTotal平台零检出，使其成为隐蔽攻击的理想选择。

逆向工程显示该驱动存在多项安全缺陷：

• 创建的\Device::BootRepair设备对象未设置安全DACL，允许低权限用户交互
• 通过\DosDevices\BootRepair符号链接向用户态程序暴露设备接口
• 处理IRP_MJ_CREATE请求时未实施访问控制检查，任何用户均可获取驱动句柄

Part02

攻击实现机制

IOCTL处理程序分析表明，驱动暴露的0x222014控制码可接收4字节输入缓冲区，其中包含传递给内部例程的进程PID。该功能通过Windows内核API ZwTerminateProcess终止指定进程，使攻击者能关闭包括安全防护服务在内的任意进程。

漏洞支持两种攻击场景：

• 系统已存在该驱动时，低权限攻击者可直接终止杀毒/EDR进程
• 驱动未部署时，攻击者可将其作为BYOVD攻击组件加载入内核，在渗透后工具执行前关闭防护

PoC演示显示，加载驱动后连CrowdStrike Falcon传感器等受保护进程也可被终止。

Part03

安全防护建议

当Bandizip.exe启动后，攻击进入DLL劫持阶段。攻击者将恶意DLL”ark_x86.dll”与合法可执行文件置于同一隐藏目录，利用Windows正常的DLL搜索顺序加载攻击者控制的库而非可信系统副本。该DLL中的”CreateArk”导出函数会执行多项反调试检查和解密例程，最终在内存中解包运行Cobalt Strike信标，而不会在磁盘留下传统可执行文件。

该事件凸显BYOVD攻击威胁升级——攻击者正滥用受信任的签名驱动破坏端点防护。由于驱动具有合法签名且初始零检出，可规避依赖签名信任的传统防护措施。建议企业采取以下措施：

• 使用微软推荐驱动黑名单拦截已知漏洞驱动
• 监控可疑驱动加载及内核级行为
• 限制未签名/未批准驱动的加载权限
• 部署能检测合法驱动滥用的EDR防护

随着攻击者持续滥用可信组件，主动的驱动控制与行为检测仍是防护现代端点的关键。

| | |

参考来源：

Hackers Can Weaponize Lenovo Driver to Terminate EDR Processes

Hackers Can Weaponize Lenovo Driver to Terminate EDR Processes

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《联想签名驱动被黑客用来终止安全进程》