CVE-2025-7771

Nome do Software Vulnerável e Versões Afetadas ThrottleStop.sys versão 3.0.0.0 ThrottleStop.sys (versões afetadas não especificadas)

Descrição O driver ThrottleStop.sys contém uma implementação insegura da função MmMapIoSpace(), que expõe duas interfaces IOCTL permitindo acesso arbitrário de leitura e escrita à memória física. Isso permite que um aplicativo em modo de usuário local faça o patch do kernel do Windows em execução e invoque funções arbitrárias do kernel com privilégios de ring-0 (o nível mais alto de privilégio na arquitetura Windows). Atacantes podem usar isso para executar código arbitrário no contexto do kernel, resultando em escalada de privilégios e na capacidade de ignorar proteções de nível de kernel ou desativar softwares de segurança.

A exploração no mundo real foi observada em ataques BYOVD (Bring Your Own Vulnerable Driver). Malwares conhecidos como AV Killer e o ransomware Gentlemen utilizaram este problema para encerrar processos de antivírus e EDR, incluindo Windows Defender, CrowdStrike e BitDefender, para facilitar a implantação do ransomware MedusaLocker. Esses ataques visaram especificamente organizações na Rússia, Bielorrússia, Ucrânia, Cazaquistão e Brasil.

Detalhes técnicos incluem o uso do IOCTL 0x8000649C para sobrescrever instruções do kernel, como as da função NtAddAtom(), com shellcode. O malware também pode usar a função NtQuerySystemInformation() para identificar processos de segurança ativos.

Recomendações Atualize o ThrottleStop.sys para a atualização de segurança mais recente fornecida pela TechPowerUp. Desative o acesso público via RDP. Implemente autenticação de múltiplos fatores (MFA). Aplique controles de acesso rigorosos e segmentação de rede.