Técnica BYOVD para obter privilégios Ring 0 no Windows

O pesquisador de segurança Rossario Matteo Grammatico (zer0matt) apresentou no Milan0day 2026 um caso de uso prático da técnica BYOVD (Bring Your Own Vulnerable Driver) para invocar funções arbitrárias do kernel do Windows com privilégios Ring 0.

No centro da técnica está o driver assinado ThrottleStop.sys (CVE-2025-7771). O driver chama MmMapIoSpace sem validar os endereços fornecidos, permitindo que qualquer processo Ring 3 (modo de usuário) acesse a memória física do kernel.

💣 O que o PoC faz: 🎯 Localiza o endereço virtual da função NtAddAtom no kernel, que é diretamente acessível do modo de usuário via ntdll.dll 🎯 Traduz o endereço virtual para um endereço físico 🎯 Usa IOCTL 0x8000649C para sobrescrever as primeiras instruções de NtAddAtom com shellcode

🔗 Artigo: https://zer0matt.blogspot.com/2026/05/whoops-i-did-it-again-i-patched-windows.html

⚙️PoC: https://github.com/zer0matt/Milan0day2026