Eduardo Ovalle

**Nome do Software Vulnerável e Versões Afetadas** ThrottleStop.sys versão 3.0.0.0 ThrottleStop.sys (versões afetadas não especificadas) **Descrição** O driver ThrottleStop.sys contém uma implementação insegura da função `MmMapIoSpace()`, que expõe duas interfaces IOCTL permitindo acesso arbitrário de leitura e escrita à memória física. Isso permite que um aplicativo em modo de usuário local faça o patch do kernel do Windows em execução e invoque funções arbitrárias do kernel com privilégios de ring-0 (o nível mais alto de privilégio na arquitetura Windows). Atacantes podem usar isso para executar código arbitrário no contexto do kernel, resultando em escalada de privilégios e na capacidade de ignorar proteções de nível de kernel ou desativar softwares de segurança. A exploração no mundo real foi observada em ataques BYOVD (Bring Your Own Vulnerable Driver). Malwares conhecidos como AV Killer e o ransomware Gentlemen utilizaram este problema para encerrar processos de antivírus e EDR, incluindo Windows Defender, CrowdStrike e BitDefender, para facilitar a implantação do ransomware MedusaLocker. Esses ataques visaram especificamente organizações na Rússia, Bielorrússia, Ucrânia, Cazaquistão e Brasil. Detalhes técnicos incluem o uso do IOCTL `0x8000649C` para sobrescrever instruções do kernel, como as da função `NtAddAtom()`, com shellcode. O malware também pode usar a função `NtQuerySystemInformation()` para identificar processos de segurança ativos. **Recomendações** Atualize o ThrottleStop.sys para a atualização de segurança mais recente fornecida pela TechPowerUp. Desative o acesso público via RDP. Implemente autenticação de múltiplos fatores (MFA). Aplique controles de acesso rigorosos e segmentação de rede.