Selon une analyse publiée sur zeifan.my, un pilote Windows malveillant présente une vulnérabilité d’élévation de privilèges de sévérité élevée (CVSS 8.8), avec des capacités de manipulation du registre et d’accès disque brut.
L’étude décrit trois interfaces de périphérique exposées par le pilote (\Device\wogui, \Device\wowrt, \Device\wowreg001) et leurs gestionnaires IRP, qui ouvrent la voie à des actions critiques. Les vulnérabilités clés incluent la suppression arbitraire de clés de registre HKLM, la modification de l’entrée BootExecute pour la persistance, et des lectures disque non restreintes au niveau secteur, permettant potentiellement de contourner des contrôles de sécurité.
Sur le plan technique, l’analyse inverse la table de dispatch et les handlers d’IOCTL. Elle précise notamment :
- IOCTL 0x222000 : suppression récursive de clés via ZwEnumerateKey/ZwDeleteKey sous HKLM.
- IOCTL 0x22200C : écrasement des entrées BootExecute (autocheck) avec des valeurs codées en dur.
- Fonctionnalité de passthrough pour lecture directe du disque (niveau secteur).
L’étude inclut du code de preuve de concept démontrant des chemins d’exploitation pour l’élévation de privilèges, l’établissement de persistance et la manipulation de configurations système critiques.
IOCs et artefacts potentiels 🧩:
- Noms d’appareils: \Device\wogui, \Device\wowrt, \Device\wowreg001
- Codes IOCTL observés: 0x222000, 0x22200C
TTPs 🛠️:
- Élévation de privilèges via driver et IOCTL
- Manipulation du Registre Windows (suppression HKLM, modification BootExecute)
- Accès disque brut et lecture de secteurs
Type d’article: publication de recherche avec analyse de rétro‑ingénierie et démonstrations d’exploitation.
🔗 Source originale : https://zeifan.my/Ampa-Driver-Analysis/