CVE-2025-7771

1 minute de lecture

Mis à jour : August 09, 2025

Exploitation de ThrottleStop.sys pour le contournement des défenses de sécurité

Une vulnérabilité, identifiée comme CVE-2025-7771, a été découverte dans le pilote légitime ThrottleStop.sys. Ce pilote expose des interfaces de contrôle d’entrée/sortie (IOCTL) qui permettent des opérations de lecture et d’écriture sur la mémoire physique, grâce à la fonction MmMapIoSpace.

Les acteurs malveillants exploitent cette faille en utilisant la technique “Bring Your Own Vulnerable Driver” (BYOVD). Ils utilisent les codes de contrôle d’entrée/sortie exposés pour accéder directement aux fonctions du noyau. Cela leur permet de manipuler les adresses mémoire, facilitant ainsi le contournement des protections de sécurité et l’installation de rançongiciels. L’objectif principal de cette exploitation est la désactivation des processus antivirus.

Points clés:

Produit affecté: ThrottleStop.sys (pilote légitime)
Type de vulnérabilité: Exposition d’interfaces IOCTL permettant l’accès à la mémoire physique.
Technique d’exploitation: “Bring Your Own Vulnerable Driver” (BYOVD).
Objectif de l’exploitation: Désactivation des antivirus, contournement des défenses de sécurité, installation de rançongiciels.
Mécanisme sous-jacent: Utilisation de la fonction MmMapIoSpace pour lire/écrire sur la mémoire.

Vulnérabilités:

CVE-2025-7771: Permet la lecture et l’écriture sur la mémoire physique via des interfaces IOCTL exposées par ThrottleStop.sys.

Recommandations:

Bien que l’article ne fournisse pas de recommandations spécifiques pour atténuer cette vulnérabilité, une pratique générale dans de tels cas consiste à :

Maintenir les pilotes à jour: S’assurer que les versions du pilote ThrottleStop (et des autres logiciels) sont les plus récentes et corrigent les failles de sécurité connues.
Surveiller l’activité des pilotes: Mettre en place une surveillance pour détecter les pilotes non autorisés ou l’utilisation inhabituelle de pilotes légitimes.
Renforcer les contrôles d’accès: Appliquer le principe du moindre privilège pour limiter la capacité des processus à accéder à des ressources sensibles.
Utiliser des solutions de sécurité à jour: S’assurer que les solutions antivirus et anti-malware sont à jour et disposent de mécanismes de protection contre les attaques BYOVD.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-7771

Exploitation de ThrottleStop.sys pour le contournement des défenses de sécurité

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast