Source: Quarkslab (blog). Contexte: publication de recherche détaillant l’exploitation d’un pilote Lenovo vulnérable permettant une élévation locale de privilèges via techniques BYOVD et manipulations de registres MSR.
L’analyse décrit des failles dans le pilote Windows de Lenovo LnvMSRIO.sys (CVE-2025-8061) permettant des opérations arbitraires de lecture/écriture de mémoire physique et la manipulation de registres MSR, ouvrant la voie à une exécution de code au niveau noyau et au vol du jeton SYSTEM. Les auteurs montrent comment des attaquants peuvent contourner des protections Windows telles que Driver Signature Enforcement (DSE), SMEP et SMAP via la technique Bring Your Own Vulnerable Driver (BYOVD).
Quatre IOCTLs exploitables sont identifiés:
- Lecture mémoire physique: 0x9c406104
- Écriture mémoire physique: 0x9c40a108
- Lecture MSR: 0x9c402084
- Écriture MSR: 0x9c402088
La chaîne d’exploitation inclut l’écrasement du registre MSR LSTAR pour rediriger les appels système vers un shellcode contrôlé, un contournement de kASLR via la fuite de la valeur MSR LSTAR, et l’utilisation de ROP pour désactiver SMEP. Le proof-of-concept démontre une élévation complète de privilèges depuis l’espace utilisateur jusqu’au noyau sur Windows 11 24H2. 🔧⚠️
IOCs: Aucun IOC communiqué.
TTPs clés:
- BYOVD pour charger un pilote vulnérable
- Lecture/écriture mémoire physique via IOCTLs dédiés
- Lecture/écriture de registres MSR (dont LSTAR) et détournement des syscalls
- Bypass kASLR par fuite de MSR LSTAR
- Désactivation de SMEP via ROP
Type d’article: publication de recherche technique visant à documenter une vulnérabilité et ses techniques d’exploitation.
🔗 Source originale : http://blog.quarkslab.com/exploiting-lenovo-driver-cve-2025-8061.html