Kernel umumnya memiliki kontrol penuh atas semua yang terjadi di sistem Anda. Jadi, bagi pelaku ancaman untuk dapat mengaksesnya adala bencana.
Peretas menggunakan "secretsdump," yang membantu mereka merebut kredensial admin, dan "wmiexec," yang mengeksekusi perintah mereka dari jarak jauh melalui alat Instrumentasi Manajemen Windows sendiri. Ini adalah alat sumber terbuka dan gratis dari Impacket yang dapat diperoleh siapa saja jika mereka mau.
Dengan itu, pelaku ancaman dapat terhubung ke pengontrol domain dan menanamkan file berbahaya ke mesin. Salah satu file ini adalah executable yang disebut "kill_svc.exe" dan digunakan untuk menginstal driver Genshin Impact.
Setelah menjatuhkan "avg.msi" ke desktop komputer yang terpengaruh, empat file ditransfer dan dieksekusi. Pada akhirnya, penyerang dapat sepenuhnya membunuh perangkat lunak antivirus komputer dan mentransfer muatan ransomware.
Setelah beberapa gangguan, musuh dapat sepenuhnya memuat driver dan ransomware ke jaringan berbagi dengan tujuan penyebaran massal, yang berarti mereka dapat mempengaruhi lebih banyak workstation yang terhubung ke jaringan yang sama.
Menurut Trend Micro, pengembang Genshin Impact telah diberitahu tentang kerentanan dalam modul game pada awal 2020. Meskipun demikian, sertifikat penandatanganan kode masih ada, yang berarti Windows terus mengenali program tersebut sebagai aman, sebagaimana dikutip dari Digital Trends.
Bahkan jika vendor menanggapi ini dan memperbaiki kelemahan utama ini, versi lamanya akan tetap ada di internet, dan dengan demikian, akan tetap menjadi ancaman. Peneliti keamanan Kevin Beaumont menyarankan pengguna untuk memblokir hash berikut untuk melindungi diri dari pengemudi: 0466e90bf0e83b776ca8716e01d35a8a2e5f96d3.