CVE-2025-7771
Mis à jour :
Attaque par Bypass de Sécurité via le Driver ThrottleStop
Une faille de sécurité, identifiée sous la référence CVE-2025-7771, a été découverte au sein du pilote légitime ThrottleStop.sys. Ce pilote expose des interfaces de contrôle d’E/S (IOCTL) qui permettent une lecture et une écriture sur la mémoire physique du système, rendues possibles par l’utilisation de la fonction MmMapIoSpace.
Les acteurs malveillants tirent parti de cette vulnérabilité grâce à une technique dite “Bring Your Own Vulnerable Driver” (BYOVD). Ils exploitent les codes de contrôle d’E/S exposés pour désactiver les processus antivirus. Cette capacité d’accès direct aux fonctions du noyau leur permet de manipuler les adresses mémoire, contournant ainsi les défenses de sécurité. Cette manœuvre ouvre la voie à l’installation de ransomwares.
Points Clés :
- La vulnérabilité réside dans le pilote légitime ThrottleStop.sys.
- Elle permet l’accès direct à la mémoire physique via des interfaces IOCTL.
- La technique utilisée est le “Bring Your Own Vulnerable Driver” (BYOVD).
- L’objectif principal est la désactivation des solutions antivirus.
- Cela facilite l’installation de malwares tels que les ransomwares.
Vulnérabilité :
- CVE-2025-7771
Recommandations :
- Les détails spécifiques des recommandations ne sont pas fournis dans l’extrait. Cependant, compte tenu de la nature de la vulnérabilité, il est fortement conseillé de maintenir à jour tous les pilotes système et logiciels de sécurité. Il est également recommandé de surveiller activement l’intégrité des fichiers du système, en particulier ceux liés aux pilotes. La mise en place de politiques de sécurité strictes concernant l’exécution de pilotes non signés ou potentiellement compromis est également une mesure essentielle.